Suricata 1.4.4 ປ່ອຍອອກມາ - ລະບົບການກວດສອບການເຂົ້າລະບົບເຄືອຂ່າຍ, ການປ້ອງກັນແລະຄວາມປອດໄພ
Suricata ແມ່ນແຫຼ່ງເປີດ ໃໝ່ ທີ່ມີປະສິດຕິພາບສູງໃນການກວດສອບລະບົບ Network Intrusion, ການປ້ອງກັນແລະຄວາມປອດໄພ ສຳ ລັບລະບົບ Unix/Linux, FreeBSD ແລະ Windows. ມັນຖືກພັດທະນາແລະເປັນເຈົ້າຂອງໂດຍມູນນິທິທີ່ບໍ່ຫວັງຜົນ ກຳ ໄລ OISF (Open Information Security Foundation).
ເມື່ອບໍ່ດົນມານີ້, ທີມງານໂຄງການ OISF ໄດ້ປະກາດປ່ອຍ Suricata 1.4.4 ດ້ວຍການປັບປຸງເລັກນ້ອຍແຕ່ ສຳ ຄັນແລະແກ້ໄຂບາງຂໍ້ບົກຜ່ອງທີ່ ສຳ ຄັນກວ່າລຸ້ນກ່ອນ.
ຄຸນລັກສະນະ Suricata
Suricata ແມ່ນເຄື່ອງຈັກໃນການຊອກຄົ້ນຫາແລະການປ້ອງກັນແບບ Intrusion ທີ່ອີງໃສ່ກົດລະບຽບເຊິ່ງເຮັດໃຫ້ການ ນຳ ໃຊ້ຊຸດລະບຽບທີ່ຖືກພັດທະນາພາຍນອກເພື່ອຕິດຕາມການຈະລາຈອນຂອງເຄືອຂ່າຍ, ພ້ອມທັງສາມາດຈັດການກັບການຈະລາຈອນ gigabyte ຫຼາຍແລະໃຫ້ແຈ້ງເຕືອນທາງອີເມວໃຫ້ຜູ້ບໍລິຫານລະບົບ/Network.
Suricata ໃຫ້ຄວາມໄວແລະຄວາມ ສຳ ຄັນໃນການ ກຳ ນົດການຈະລາຈອນທາງເຄືອຂ່າຍ. ເຄື່ອງຈັກໄດ້ຖືກພັດທະນາເພື່ອ ນຳ ໃຊ້ພະລັງງານປະມວນຜົນທີ່ເພີ່ມຂື້ນທີ່ ນຳ ສະ ເໜີ ໂດຍຊຸດຊິບຮາດແວຫຼາຍໆແກນທີ່ທັນສະ ໄໝ.
ເຄື່ອງຈັກບໍ່ພຽງແຕ່ໃຫ້ ຄຳ ສຳ ຄັນ ສຳ ລັບ TCP, UDP, ICMP ແລະ IP ເທົ່ານັ້ນ, ແຕ່ມັນຍັງມີການສະ ໜັບ ສະ ໜູນ ສຳ ລັບ HTTP, FTP, TLS ແລະ SMB ນຳ ອີກ. ຜູ້ເບິ່ງແຍງລະບົບສາມາດສ້າງກົດລະບຽບຂອງຕົນເອງເພື່ອກວດຫາການຈັບຄູ່ພາຍໃນກະແສ HTTP. ສິ່ງນີ້ຈະກາຍເປັນການກວດສອບແລະຄວບຄຸມ Malware ທີ່ແຕກຕ່າງກັນ.
ເຄື່ອງຈັກແນ່ນອນວ່າຈະໃຊ້ກົດລະບຽບທີ່ກົງກັບ IP ທີ່ອີງໃສ່ RBN ແລະລາຍຊື່ IP ທີ່ຫຼຸດຫນ້ອຍລົງທີ່ Emerging Threats ແລະໃຫ້ພວກເຂົາເຂົ້າໄປໃນໂປແກຼມການຈັບຄູ່ການຈັບຄູ່ໄວທີ່ແນ່ນອນ.
ຂັ້ນຕອນທີ: 1 ການຕິດຕັ້ງ Suricata ໃນ RHEL, CentOS ແລະ Fedora
ທ່ານຕ້ອງໄດ້ໃຊ້ຫໍສະມຸດ EPEL ຂອງ Fedora ເພື່ອຕິດຕັ້ງບາງຊຸດທີ່ ຈຳ ເປັນ ສຳ ລັບລະບົບ i386 ແລະ x86_64.
<
ກ່ອນທີ່ທ່ານຈະສາມາດລວບລວມແລະສ້າງ Suricata ສຳ ລັບລະບົບຂອງທ່ານ, ຕິດຕັ້ງແພກເກັດເພິ່ງພາຕໍ່ໄປນີ້ທີ່ ຈຳ ເປັນ ສຳ ລັບການຕິດຕັ້ງຕໍ່ໄປ. ຂະບວນການດັ່ງກ່າວອາດໃຊ້ເວລາໃນໄລຍະ ໜຶ່ງ ທີ່ຈະ ສຳ ເລັດ, ຂື້ນກັບຄວາມໄວຂອງອິນເຕີເນັດ.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
ຕໍ່ໄປ, ສ້າງ Suricata ດ້ວຍການສະ ໜັບ ສະ ໜູນ IPS. ສຳ ລັບສິ່ງນີ້, ພວກເຮົາຕ້ອງການຊຸດ“ libnfnetlink” ແລະ“ libnetfilter_queue”, ແຕ່ວ່າແພັກເກັດທີ່ສ້າງມາກ່ອນບໍ່ມີຢູ່ໃນຫໍສະມຸດ EPEL ຫຼື CentOS Base. ດັ່ງນັ້ນ, ພວກເຮົາ ຈຳ ເປັນຕ້ອງໄດ້ດາວໂຫລດແລະຕິດຕັ້ງ rpms ຈາກບ່ອນເກັບມ້ຽນຂອງສູນ ກຳ ລັງປ້ອງກັນໄພສຸກເສີນ CentOS.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
ດາວໂຫລດເອກະສານແຫຼ່ງຂໍ້ມູນລ້າສຸດຂອງ Suricata ແລະສ້າງມັນໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
ຕອນນີ້ພວກເຮົາໃຊ້ຄຸນສົມບັດຂອງ Suricata Auto Setup ເພື່ອສ້າງໄດເລກະທໍລີທີ່ ຈຳ ເປັນທັງ ໝົດ, ໄຟລ໌ການຕັ້ງຄ່າແລະລະບຽບການລ້າສຸດ.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
ຂັ້ນຕອນທີ 2: ການຕິດຕັ້ງ Suricata ໃນ Debian ແລະ Ubuntu
ກ່ອນ, ເລີ່ມຕົ້ນການຕິດຕັ້ງ, ທ່ານຕ້ອງມີການຕິດຕັ້ງໂປແກຼມທີ່ ຈຳ ເປັນຕໍ່ໄປນີ້ໄວ້ກ່ອນໃນລະບົບເພື່ອ ດຳ ເນີນການຕໍ່ໄປ. ໃຫ້ແນ່ໃຈວ່າທ່ານຕ້ອງເປັນຜູ້ໃຊ້ຮາກເພື່ອ ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້. ຂະບວນການຕິດຕັ້ງນີ້ອາດໃຊ້ເວລາບາງເວລາ, ຂື້ນກັບຄວາມໄວຂອງອິນເຕີເນັດຂອງທ່ານໃນປະຈຸບັນ.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config magic file libhtp-dev
ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຮັດວຽກເປັນ IDS. ຖ້າທ່ານຕ້ອງການເພີ່ມການສະ ໜັບ ສະ ໜູນ IDS, ຕິດຕັ້ງບາງຊຸດທີ່ ຈຳ ເປັນດັ່ງຕໍ່ໄປນີ້.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
ດາວໂຫລດ Suricata tar-ball ຫຼ້າສຸດແລະສ້າງມັນໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
ໃຊ້ຕົວເລືອກການຕັ້ງຄ່າຂອງ Suricata Auto ເພື່ອສ້າງໄດເລກະທໍລີທີ່ຕ້ອງການ, ໄຟລ໌ການຕັ້ງຄ່າແລະລະບຽບການຕ່າງໆໂດຍອັດຕະໂນມັດດັ່ງຮູບຂ້າງລຸ່ມ
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
ຂັ້ນຕອນທີ 3: ການຕັ້ງຄ່າພື້ນຖານຂອງ Suricata
ຫຼັງຈາກດາວໂຫລດແລະຕິດຕັ້ງ Suricata, ດຽວນີ້ເຖິງເວລາແລ້ວທີ່ຈະ ດຳ ເນີນການ Basic Setup. ສ້າງຜູ້ ອຳ ນວຍການຕໍ່ໄປນີ້.
# mkdir /var/log/suricata # mkdir /etc/suricata
ສ່ວນຕໍ່ໄປແມ່ນການຄັດລອກແຟ້ມການຕັ້ງຄ່າເຊັ່ນ: "classification.config", "reference.config" ແລະ "suricata.yaml" ຈາກຖານຂໍ້ມູນການຕິດຕັ້ງຖານຂໍ້ມູນ.
# cd /tmp/suricata-1.4.4 # cp classification.config /etc/suricata # cp reference.config /etc/suricata # cp suricata.yaml /etc/suricata
ສຸດທ້າຍ, ເລີ່ມຕົ້ນ "Suricata Engine" ຄັ້ງ ທຳ ອິດແລະລະບຸຊື່ອຸປະກອນອິນເຕີເຟດທີ່ທ່ານຕ້ອງການ. ແທນທີ່ eth0, ທ່ານສາມາດປະກອບມີບັດເຄືອຂ່າຍຂອງຄວາມຕ້ອງການຂອງທ່ານ.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE 23/7/2013 -- 12:22:45 - - CPUs/cores online: 2 23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0' 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104 23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer 23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304 23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76 23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176 23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - IP reputation disabled 23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
ຫຼັງຈາກຫລາຍນາທີຕໍ່ມາ, ກວດເບິ່ງເຄື່ອງຈັກເຮັດວຽກຢ່າງຖືກຕ້ອງແລະຮັບແລະກວດກາການຈະລາຈອນ.
# cd /usr/local/var/log/suricata/ # ls -l -rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log drwxr-xr-x 2 root root 4096 Jul 23 11:34 files -rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log -rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log -rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837 -rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711 -rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939 -rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
ເບິ່ງ“ stats.log” ເອກະສານແລະຮັບປະກັນວ່າຂໍ້ມູນທີ່ສະແດງແມ່ນຖືກປັບປຸງໃນເວລາຈິງ.
# tail -f stats.log tcp.reassembly_memuse | Detect | 0 tcp.reassembly_gap | Detect | 0 detect.alert | Detect | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
ລິ້ງອ້າງອີງ
ໜ້າ ທຳ ອິດສຸລິຕາ
ຄູ່ມືຜູ້ໃຊ້ Suricata