Sistemul de detectare a intrușilor Suricata

Sistemul de detectare a intrușilor Suricata | Securitate 2024
Sistemul de detectare a intrușilor Suricata | Securitate 2024
Suricata se bazează pe sistemul Snort IDS, care este și un sistem de detectare a intruziunilor, Snort l-am văzut în alte tutoriale, cum ar fi:
  • Instrumente de prevenire și securitate a hackerilor
  • Întărirea securității serverelor și a sistemelor de operare

Meerkat care este capabil de analize multi-thread, decodarea nativă a fluxurilor de rețea și asamblarea fișierelor de flux de rețea în timpul efectuării analizei.

Acest instrument este foarte scalabil, ceea ce înseamnă că poate rula mai multe instanțe și poate echilibra sarcina dacă avem mai multe procesoare, permițând utilizarea întregului potențial al unei echipe. Acest lucru ne permite să nu avem probleme de consum de resurse în timp ce efectuăm o analiză.
Cele mai comune protocoale sunt recunoscute automat de Suricat, atat de mult http, https, ftp, smtp, pop3 și altele, permițându-ne astfel să configurăm reguli pentru permisiuni și filtrare a traficului de intrare și de ieșire, controlăm și portul prin care este accesat fiecare protocol.
Un alt serviciu pe care îl oferă este identificarea Arhiva, Sume de verificare MD5 și controlul fișierelor comprimate. Suricata poate identifica ce tipuri de fișiere sunt transferate sau accesate în rețea. Dacă dorim să accesăm un fișier, această sarcină va face Suricata să creeze un fișier pe disc cu format de metadate care descrie situația și sarcina efectuată. Suma de verificare MD5 este utilizată pentru a determina dacă fișierul de metadate care stochează informațiile despre sarcinile efectuate nu a fost modificat.

Instalați Suricata în sistemul nostru de operare


Suricata poate fi utilizată pe orice platformă Linux, Mac, FreeBSD, UNIX și Windows, o putem descărca de pe site-ul său oficial sau dacă avem Linux pentru ao instala din depozite.

Vom instala Suricata în acest tutorial pe Linux Mint. Pentru a instala Suricata deschidem o fereastră de terminal și tastăm următoarele comenzi: 
 sudo add-apt ppa-repository: oisf / meerkat stabil sudo update apt-get sudo apt-get install meerkat
Cu aceasta ar fi instalat.

Configurați Suricata pe un server


De la Linux va trebui să accesăm terminalul în modul administrator, vom începe cu crearea unui folder în care să stocăm informațiile pe care Suricata le va colecta și înregistra. 
 sudo mkdir / var / log / meerkat
De asemenea, trebuie să verificăm dacă sistemul se află în folderul etc, altfel îl creăm: 
 sudo mkdir / etc / meerkat
Vom avea deja instalat Suricata și Sistem de detectare a intruziunilor și analizor de trafic de rețea. În această etapă nu există reguli definite de filtrat, deci trebuie să creăm reguli sau să le folosim. Amenințări emergente, care este un depozit de reguli și amenințări cunoscute pentru Snort și Suricata, ceva de genul unei baze de date antivirus, dar pentru intruziuni, utilizarea regulilor Emerging Threats este gratuită.
Apoi, putem descărca fișiere de reguli de la terminal cu următoarele comenzi: 
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Apoi trebuie să dezarhivăm fișierul și să-l copiem în folderul / etc / suricata 
 tar zxvf emergente.rules.tar.gz reguli cp -r / etc / suricata /
Apoi va trebui să configurăm Motor de analiză Suricata, cu configurația implicită va folosi interfețele de rețea eth0 cu regulile pe care le conține și le definim în fișier semnături.reguliPentru a configura reguli noi trebuie să folosim următoarea comandă: 
 meerkat -c meerkat.yaml -s signatures.rules -i eth0
Regulile vor fi configurate.

Interfețe de rețea disponibile


Pentru a verifica conexiunile sau interfețele de rețea disponibile, dintr-o fereastră a terminalului scriem următoarea comandă: 
 Ifconfig

Acum puteți vedea pe care dorim să o audităm știind adresa IP a fiecăruia și numele acesteia. Pentru a porni motorul și a atribui o interfață de rețea, de exemplu rețeaua Wi-Fi, scriem următoarea comandă: 
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Dacă vrem să audităm rețeaua cu fir, vom folosi eth0. Pentru a vedea dacă motorul funcționează corect și efectuează de fapt inspecții în rețea, trebuie să folosim următoarea comandă: 
 cd / var / log / suricata tail http.log
Aceasta ne va afișa o listă cu data, ora și web-ul sau IP-ul care a fost accesat și prin ce port. Dacă ne uităm la fișierele statslog, putem observa fluxul de trafic și alertele detectate, trebuie să distingem paginile pe care le navigăm de cele care sunt redirecționate prin publicitate.

 tail -f stats.log
De asemenea, putem descărca fișierele jurnal și le putem deschide cu un editor de text sau cu propriul nostru software pentru a îmbunătăți citirea.
Un exemplu este un fișier Json numit even.json

Aici putem vedea porturile folosite și ip putem vedea că ip 31.13.85.8 corespunde Facebook, detectăm și un acces la c.live.com, care ar fi web-ul de poștă Outlook.

Să vedem un alt jurnal în care detectăm accesul de la Google Chrome la site-ul web Solvetic.com.

Pentru a nu controla tot traficul, putem determina monitorizarea unui grup sau a unui anumit utilizator cu următoarea comandă. 
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = accounting
Trebuie să avem în vedere că executarea seturilor de reguli, chiar și de dimensiuni modeste, pentru a monitoriza un flux de trafic HTTP utilizând depozitele complete de amenințări și setul său de reguli va necesita aproximativ un consum echivalent de resurse CPU și RAM. La un trafic de 50 Mb pe secundă, deși nu este prea mult să afecteze un server.

Reguli pentru ignorarea traficului


În unele cazuri, există motive pentru a ignora anumite traficuri pe care nu ne interesează să le monitorizăm. Poate o gazdă sau o rețea de încredere sau un site web.
Vom vedea câteva strategii pentru a ignora traficul cu suricat. Prin filtrele de captură îi puteți spune Suricata ce să urmeze și ce să nu urmeze. De exemplu, un filtru simplu de protocol tcp va audita doar pachetele TCP.
Dacă unele computere sau rețele ar trebui ignorate, nu ar trebui să folosim IP1 sau ip / 24, pentru a ignora toate computerele dintr-o rețea.

Aprobați un pachet și traficul acestuia


A trece guvernează cu suricat și stabilim că un pachet nu este filtrat, de exemplu, dintr-un anumit IP și protocolul TCP, atunci vom folosi următoarea comandă în fișierele de reguli stabilite în folderul / etc / suricata / rules 
 Treceți 192.168.0.1 any any any (msg: "Acceptați tot traficul de pe acest IP";)
Pentru a vedea ce module am activat pentru Suricata, vom deschide o fereastră de terminal și apoi vom tasta următoarea comandă: 
 suricat - build-info
Am văzut cum Meerkat Serviciu IDS Bazat pe reguli pentru a controla traficul de rețea și a oferi alerte administratorului de sistem atunci când apar evenimente suspecte, este foarte util astfel încât, însoțit de alte sisteme de securitate a rețelei, să ne permită să ne protejăm datele de accesul necorespunzător.
Suricata are funcționalitatea și opțiunile de bibliotecă care pot fi adăugate prin intermediul pluginurilor pentru a fi încorporate ca monitor sau API în alte aplicații.
Ceva important este să știm ce servicii sunt active și ce trebuie să monitorizăm pentru a nu avea rapoarte foarte lungi despre servicii sau porturi care nu funcționează.
Dacă, de exemplu, serverele sunt doar web și au nevoie doar de portul 80 pentru HTTP, nu există niciun motiv pentru a monitoriza serviciul SMTP care este pentru trimiterea de e-mail.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cunoașterea Google Adwords
2
post-title
Cum se elimină contul Google Xiaomi Mi 8 Pro
3
post-title
Panel Panoul tactil Windows 10 nu funcționează SOLUȚIE
4
post-title
Cum se folosește subselecția în MySQL
5
post-title
Instalarea și configurarea MySQL Community Server 5.5.41 și MySQL Workbench 6.2 CE

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -