Suricata Intruder Detection System

Suricata er baseret på Snort IDS -systemet, som også er en indtrængningsdetekteringssystem, Snort vi har set det i andre tutorials som:
  • Hacker -forebyggelses- og sikkerhedsværktøjer
  • Hærdet sikkerhed for servere og operativsystemer

Surikat, der er i stand til multi-threaded analyse, indbygget dekodning af netværksstrømme og samling af netværksstream-filer, mens der udføres analyse.

Dette værktøj er meget skalerbart, det betyder, at det kan køre flere instanser og afbalancere belastningen, hvis vi har flere processorer, hvilket gør det muligt at udnytte et teams fulde potentiale. Dette giver os mulighed for ikke at have ressourceforbrugsproblemer, mens vi kører en analyse.
De mest almindelige protokoller genkendes automatisk af Surikat, så meget http, https, ftp, smtp, pop3 og andreog dermed tillader os at konfigurere regler for tilladelser og filtrering af indgående og udgående trafik, kontrollerer vi også den port, hvorigennem der er adgang til hver protokol.
En anden service, den leverer, er identifikation Arkiv, MD5 kontrolsummer og kontrol af komprimerede filer. Suricata kan identificere, hvilke typer filer der overføres eller tilgås på netværket. Hvis vi ønsker at få adgang til en fil, får denne opgave Suricata til at oprette en fil på disk med metadataformat, der beskriver situationen og den udførte opgave. MD5 -kontrolsummen bruges til at bestemme, at metadatafilen, der gemmer oplysningerne om de udførte opgaver, ikke er blevet ændret.

Installer Suricata i vores operativsystem


Suricata kan bruges på enhver Linux -platform, Mac, FreeBSD, UNIX og Windows, vi kan downloade det fra dets officielle websted, eller hvis vi har Linux til at installere det fra depoterne.

Vi installerer Suricata i denne vejledning på Linux Mint. For at installere Suricata åbner vi et terminalvindue og skriver følgende kommandoer:
 sudo add-apt ppa-repository: oisf / meerkat stabil sudo update apt-get sudo apt-get installer meerkat
Med dette ville det blive installeret.

Opsæt Suricata på en server


Fra Linux bliver vi nødt til at få adgang til terminalen i administratortilstand, vi begynder med oprettelsen af ​​en mappe, hvor de oplysninger, som Suricata vil indsamle og registrere, gemmes.
 sudo mkdir / var / log / meerkat
Vi skal også kontrollere, at systemet er i mappen etc, ellers opretter vi det:
 sudo mkdir / etc / surikat
Vi vil allerede have installeret Suricata og Indtrængningsdetekteringssystem og netværkstrafikanalysator. På dette tidspunkt er der ingen definerede regler at filtrere, så vi skal oprette regler eller bruge. Emerging Threats, som er et lager af regler og kendte trusler for Snort og Suricata, noget som en antivirusdatabase, men for indbrud, er brug af Emerging Threats -reglerne gratis og gratis.
Derefter kan vi downloade regelfiler fra terminalen med følgende kommandoer:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Derefter skal vi pakke filen ud og kopiere den til / etc / suricata -mappen
 tar zxvf emerging.rules.tar.gz cp -r regler / etc / suricata /
Dernæst bliver vi nødt til at konfigurere Suricata -analysemotor, med standardkonfigurationen vil den bruge netværksgrænsefladerne eth0 med regler, som den indeholder, og vi definerer i filen underskrifter.reglerFor at konfigurere nye regler skal vi bruge følgende kommando:
 meerkat -c surikat.yaml -s signaturer.regler -i eth0
Reglerne konfigureres.

Tilgængelige netværksgrænseflader


For at kontrollere forbindelserne eller tilgængelige netværksgrænseflader skriver vi fra et terminalvindue følgende kommando:
 Hviskonfig 

Nu kan du se, hvilken vi vil revidere ved at kende hver enkelt IP og dets navn. For at starte motoren og tildele en netværksgrænseflade, for eksempel Wi-Fi-netværket, skriver vi følgende kommando:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Hvis vi vil revidere det kablede netværk, vil vi bruge eth0. For at se om motoren fungerer korrekt og faktisk udfører inspektioner på netværket, skal vi bruge følgende kommando:
 cd / var / log / suricata tail http.log
Dette viser os en liste med dato, klokkeslæt og internettet eller IP, der blev tilgået, og gennem hvilken port. Hvis vi kigger på statslog -filerne, kan vi observere trafikstrømmen og de registrerede advarsler, vi skal skelne de sider, vi gennemser, fra dem, der omdirigeres gennem annoncering.

 hale -f stats.log
Vi kan også downloade logfilerne og åbne dem med et tekstredigeringsprogram eller vores egen software for at forbedre læsningen.
Et eksempel er en Json -fil, der hedder even.json

Her kan vi se de anvendte porte og ip vi kan se, at ip 31.13.85.8 svarer til Facebook, vi registrerer også en adgang til c.live.com, som ville være Outlook mail web.

Lad os se en anden log, hvor vi registrerer adgang fra Google Chrome til webstedet Solvetic.com.

For ikke at kontrollere al trafikken kan vi bestemme monitoren for en gruppe eller en bestemt bruger med følgende kommando.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = regnskab
Vi skal huske på, at udførelse af regelsættene, selv af beskeden størrelse, for at overvåge en strøm af HTTP -trafik ved hjælp af de komplette trusselslagre og dets regelsæt vil kræve cirka et tilsvarende forbrug af CPU- og RAM -ressourcer. Ved en trafik på 50 Mb i sekundet, selvom det ikke er meget at påvirke en server.

Regler for at ignorere trafik


I nogle tilfælde er der grunde til at ignorere bestemt trafik, som vi ikke er interesseret i at overvåge. Måske en betroet vært eller netværk eller et websted.
Vi vil se nogle strategier til at ignorere trafik med surikat. Gennem fangstfiltrene kan du fortælle Suricata, hvad du skal følge, og hvad du ikke skal følge. For eksempel vil et enkelt tcp -protokolfilter kun kontrollere TCP -pakker.
Hvis nogle computere eller netværk skulle ignoreres, bør vi ikke bruge IP1 eller ip / 24 til at ignorere alle computere på et netværk.

Godkend en pakke og dens trafik


At bestå regler med surikat og bestemme, at en pakke f.eks. ikke filtreres fra en bestemt IP og TCP -protokollen, så bruger vi følgende kommando i reglerfilerne, der er oprettet i mappen / etc / suricata / rules
 Pass 192.168.0.1 any any (msg: "Accepter al trafik fra denne ip";)
For at se hvilke moduler vi har aktiveret til Suricata, åbner vi et terminalvindue og skriver derefter følgende kommando:
 surikat --byg-info
Vi har set hvordan Meerkat med dens IDS service Baseret på regler for at kontrollere netværkstrafik og give advarsler til systemadministratoren, når mistænkelige hændelser opstår, er det meget nyttigt, så det ledsaget af andre netværkssikkerhedssystemer giver os mulighed for at beskytte vores data mod forkert adgang.
Suricata har de funktionaliteter og biblioteksmuligheder, der kan tilføjes via plugins, der kan inkorporeres som en skærm eller API i andre applikationer.
Noget vigtigt er at vide, hvilke tjenester der er aktive, og hvad vi skal overvåge for ikke at have meget lange rapporter om tjenester eller havne, der ikke fungerer.
Hvis f.eks. Serverne kun er web og kun har brug for port 80 til HTTP, er der ingen grund til at overvåge SMTP -tjenesten, der er til afsendelse af mail.Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
wave wave wave wave wave