Suricata Intruder Detection System

Suricata er basert på Snort IDS -systemet, som også er en inntrengingsdeteksjonssystem, Snort vi har sett det i andre opplæringsprogrammer som:
  • Verktøy for forebygging og sikkerhet av hackere
  • Forsterker sikkerheten til servere og operativsystemer

Surikat som er i stand til flertrådet analyse, innfødt dekoding av nettverksstrømmer og samling av nettverksstrømfiler mens du utfører analyse.

Dette verktøyet er veldig skalerbart, dette betyr at det kan kjøre flere forekomster og balansere belastningen hvis vi har flere prosessorer, slik at vi kan utnytte hele teamets potensial. Dette tillater oss å ikke ha ressursforbruksproblemer mens vi kjører en analyse.
De vanligste protokollene blir automatisk gjenkjent av Surikat, så mye http, https, ftp, smtp, pop3 og andreog dermed tillate oss å konfigurere regler for tillatelser og filtrering av innkommende og utgående trafikk, kontrollerer vi også porten som hver protokoll er tilgjengelig for.
En annen tjeneste den tilbyr, er identifikasjon Arkiv, MD5 kontrollsummer og kontroll av komprimerte filer. Suricata kan identifisere hvilke typer filer som overføres eller åpnes på nettverket. Hvis vi ønsker å få tilgang til en fil, vil denne oppgaven få Suricata til å lage en fil på disk med metadataformat som beskriver situasjonen og oppgaven som er utført. Kontrollsummen MD5 brukes til å fastslå at metadatafilen som lagrer informasjonen om oppgavene som er utført ikke er endret.

Installer Suricata i operativsystemet vårt


Suricata kan brukes på hvilken som helst Linux -plattform, Mac, FreeBSD, UNIX og Windows, vi kan laste den ned fra den offisielle nettsiden eller hvis vi har Linux for å installere den fra depotene.

Vi vil installere Suricata i denne opplæringen på Linux Mint. For å installere Suricata åpner vi et terminalvindu og skriver inn følgende kommandoer:
 sudo add-apt ppa-repository: oisf / meerkat stabil sudo oppdatering apt-get sudo apt-get installer meerkat
Med dette ville det bli installert.

Sett opp Suricata på en server


Fra Linux må vi få tilgang til terminalen i administratormodus, vi begynner med opprettelsen av en mappe der vi lagrer informasjonen som Suricata vil samle og registrere.
 sudo mkdir / var / log / meerkat
Vi må også bekrefte at systemet er i etc -mappen, ellers lager vi det:
 sudo mkdir / etc / surikat
Vi vil allerede ha Suricata installert og Intrusjonsdeteksjonssystem og nettverkstrafikkanalysator. På dette stadiet er det ingen definerte regler å filtrere, så vi må lage regler eller bruke. Emerging Threats, som er et lager av regler og kjente trusler for Snort og Suricata, noe som en antivirusdatabase, men for inntrengning, er bruk av Emerging Threats -reglene gratis og gratis.
Deretter kan vi laste ned regelfiler fra terminalen med følgende kommandoer:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Deretter må vi pakke ut filen og kopiere den til / etc / suricata -mappen
 tar zxvf emerging.rules.tar.gz cp -r regler / etc / suricata /
Deretter må vi konfigurere Suricata -analysemotor, med standardkonfigurasjonen vil den bruke nettverksgrensesnittene eth0 med regler som den inneholder og vi definerer i filen signaturer. reglerFor å konfigurere nye regler må vi bruke følgende kommando:
 surikat -c surikat.yaml -s signaturer.regler -i eth0
Reglene vil bli konfigurert.

Tilgjengelige nettverksgrensesnitt


For å sjekke tilkoblinger eller tilgjengelige nettverksgrensesnitt skriver vi fra et terminalvindu følgende kommando:
 Ifconfig 

Nå kan du se hvilken vi vil kontrollere ved å kjenne IP -adressen til hver enkelt og navnet. For å starte motoren og tildele et nettverksgrensesnitt, for eksempel Wi-Fi-nettverket, skriver vi følgende kommando:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Hvis vi vil revidere det kablede nettverket, bruker vi eth0. For å se om motoren fungerer som den skal og faktisk utfører inspeksjoner på nettverket, må vi bruke følgende kommando:
 cd / var / log / suricata tail http.log
Dette viser oss en liste med dato, klokkeslett og internett eller IP som du fikk tilgang til og gjennom hvilken port. Hvis vi ser på statslog -filene, kan vi observere trafikkflyten og de oppdagede varslene, vi må skille sidene vi blar fra fra de som blir omdirigert gjennom annonsering.

 tail -f stats.log
Vi kan også laste ned loggfilene og åpne dem med et tekstredigeringsprogram eller vår egen programvare for å forbedre lesingen.
Et eksempel er en Json -fil som heter even.json

Her kan vi se portene som brukes og ip vi kan se at ip 31.13.85.8 tilsvarer Facebook, vi oppdager også en tilgang til c.live.com, som ville være Outlook -postnettet.

La oss se en annen logg der vi oppdager tilgang fra Google Chrome til nettstedet Solvetic.com.

For ikke å kontrollere all trafikk, kan vi bestemme monitoren for en gruppe eller en bestemt bruker med følgende kommando.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = regnskap
Vi må huske på at utførelse av regelsettene, selv av beskjeden størrelse, for å overvåke en strøm av HTTP -trafikk ved hjelp av de komplette trussellagrene og dets sett med regler, vil kreve omtrent et tilsvarende forbruk av CPU- og RAM -ressurser. Ved en trafikk på 50 Mb per sekund, selv om det ikke er mye å påvirke en server.

Regler for ignorering av trafikk


I noen tilfeller er det grunner til å ignorere viss trafikk som vi ikke er interessert i å overvåke. Kanskje en pålitelig vert eller et nettverk eller et nettsted.
Vi får se noen strategier for å ignorere trafikk med surikat. Gjennom fangstfiltrene kan du fortelle Suricata hva du skal følge og hva du ikke skal følge. For eksempel vil et enkelt tcp -protokollfilter bare kontrollere TCP -pakker.
Hvis noen datamaskiner eller nettverk skulle ignoreres, bør vi ikke bruke IP1 eller ip / 24, for å ignorere alle datamaskiner i et nettverk.

Godkjenn en pakke og dens trafikk


Å sende regler med surikat og bestemme at en pakke ikke er filtrert for eksempel fra en bestemt IP og TCP -protokollen, så bruker vi følgende kommando i regelfilene som er opprettet i mappen / etc / suricata / rules
 Pass 192.168.0.1 any any (msg: "Accept all traffic from this ip";)
For å se hvilke moduler vi har aktivert for Suricata, åpner vi et terminalvindu og skriver inn følgende kommando:
 surikat-bygge-info
Vi har sett hvordan Meerkat med sin IDS -tjeneste Basert på regler for å kontrollere nettverkstrafikk og gi varsler til systemadministratoren når mistenkelige hendelser oppstår, er det veldig nyttig slik at det, sammen med andre nettverkssikkerhetssystemer, lar oss beskytte dataene våre mot feil tilgang.
Suricata har funksjonalitet og bibliotekalternativer som kan legges til via plugins for å bli integrert som en skjerm eller API i andre applikasjoner.
Noe viktig er å vite hvilke tjenester som er aktive og hva vi må overvåke for ikke å ha veldig lange rapporter om tjenester eller havner som ikke fungerer.
Hvis for eksempel serverne bare er web og bare trenger port 80 for HTTP, er det ingen grunn til å overvåke SMTP -tjenesten som er for sending av e -post.Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng
wave wave wave wave wave