Suricata Inträngningsdetekteringssystem

Suricata är baserat på Snort IDS -systemet, som också är en intrångsdetekteringssystem, Snort vi har sett det i andra handledning som:
  • Hackerförebyggande och säkerhetsverktyg
  • Hårdare säkerhet för servrar och operativsystem

Surikat som kan multitrådad analys, avkodning av nätverksströmmar och montering av nätverksströmfiler under analysen.

Det här verktyget är mycket skalbart, det betyder att det kan köra flera instanser och balansera belastningen om vi har flera processorer, vilket gör det möjligt att utnyttja hela teamets potential. Detta tillåter oss att inte ha resursförbrukningsproblem medan vi kör en analys.
De vanligaste protokollen identifieras automatiskt av Surikat, så mycket http, https, ftp, smtp, pop3 och andraså att vi kan konfigurera regler för behörigheter och filtrering av inkommande och utgående trafik, styr vi också porten genom vilken varje protokoll nås.
En annan tjänst som tillhandahålls är identifiering Arkiv, MD5 -kontrollsummor och kontroll av komprimerade filer. Suricata kan identifiera vilka typer av filer som överförs eller öppnas i nätverket. Om vi ​​vill komma åt en fil kommer denna uppgif.webpt att få Suricata att skapa en fil på hårddisken med metadataformat som beskriver situationen och uppgif.webpten som utförs. Kontrollsumman MD5 används för att avgöra att metadatafilen som lagrar informationen om de utförda uppgif.webpterna inte har ändrats.

Installera Suricata i vårt operativsystem


Suricata kan användas på vilken Linux -plattform som helst, Mac, FreeBSD, UNIX och Windows, vi kan ladda ner det från dess officiella webbplats eller om vi har Linux för att installera det från lagren.

Vi kommer att installera Suricata i den här självstudien på Linux Mint. För att installera Suricata öppnar vi ett terminalfönster och skriver följande kommandon:
 sudo add-apt ppa-repository: oisf / meerkat stabil sudo update apt-get sudo apt-get installera meerkat
Med detta skulle det installeras.

Konfigurera Suricata på en server


Från Linux måste vi komma åt terminalen i administratörsläge, vi börjar med att skapa en mapp där vi kan lagra informationen som Suricata samlar in och registrerar.
 sudo mkdir / var / log / meerkat
Vi måste också verifiera att systemet finns i mappen etc, annars skapar vi det:
 sudo mkdir / etc / surikat
Vi kommer redan att ha Suricata installerat och Inbrottsdetekteringssystem och nätverkstrafikanalysator. I det här skedet finns det inga definierade regler att filtrera, så vi måste skapa regler eller använda. Emerging Threats, som är en förvaring av regler och kända hot för Snort och Suricata, något som en antivirusdatabas men för intrång är det gratis och gratis att använda reglerna för Emerging Threats.
Sedan kan vi ladda ner regelfiler från terminalen med följande kommandon:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Sedan måste vi packa upp filen och kopiera den till mappen / etc / suricata
 tar zxvf emerging.rules.tar.gz cp -r regler / etc / suricata /
Därefter måste vi konfigurera Suricata -analysmotor, med standardkonfigurationen använder den nätverksgränssnittet eth0 med regler som den innehåller och vi definierar i filen signaturer. reglerFör att konfigurera nya regler måste vi använda följande kommando:
 surikat -c surikat.yaml -s signaturer.regler -i eth0
Reglerna kommer att konfigureras.

Tillgängliga nätverksgränssnitt


För att kontrollera anslutningarna eller tillgängliga nätverksgränssnitt skriver vi från ett terminalfönster följande kommando:
 Ifconfig 

Nu kan du se vilken vi vill granska med IP -adressen till var och en och dess namn. För att starta motorn och tilldela ett nätverksgränssnitt, till exempel Wi-Fi-nätverket, skriver vi följande kommando:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Om vi ​​vill granska det trådbundna nätverket använder vi eth0. För att se om motorn fungerar korrekt och faktiskt utför inspektioner i nätverket måste vi använda följande kommando:
 cd / var / log / suricata tail http.log
Detta kommer att visa oss en lista med datum, tid och webben eller IP -adressen som öppnades och genom vilken port. Om vi ​​tittar på statslogfilerna kan vi observera trafikflödet och de upptäckta varningarna, vi måste skilja de sidor vi bläddrar från de som omdirigeras genom reklam.

 tail -f stats.log
Vi kan också ladda ner loggfilerna och öppna dem med en textredigerare eller vår egen programvara för att förbättra läsningen.
Ett exempel är en Json -fil som heter even.json

Här kan vi se portarna som används och ip vi kan se att ip 31.13.85.8 motsvarar Facebook, vi upptäcker också en åtkomst till c.live.com, som skulle vara Outlook -postwebben.

Låt oss se en annan logg där vi upptäcker åtkomst från Google Chrome till webbplatsen Solvetic.com.

För att inte styra all trafik kan vi bestämma bildskärmen för en grupp eller en specifik användare med följande kommando.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = redovisning
Vi måste komma ihåg att exekvering av regeluppsättningar, även av blygsam storlek, för att övervaka ett flöde av HTTP -trafik med hjälp av de fullständiga hotlagren och dess uppsättning regler kommer att kräva ungefär en likvärdig förbrukning av CPU- och RAM -resurser. Vid en trafik på 50 Mb per sekund även om det inte är mycket att påverka en server.

Regler för att ignorera trafik


I vissa fall finns det skäl att ignorera viss trafik som vi inte är intresserade av att övervaka. Kanske en betrodd värd eller ett nätverk eller en webbplats.
Vi får se några strategier för att ignorera trafik med surikat. Genom fångstfiltren kan du berätta för Suricata vad du ska följa och vad du inte ska följa. Till exempel granskar ett enkelt tcp -protokollfilter endast TCP -paket.
Om vissa datorer eller nätverk skulle ignoreras bör vi inte använda IP1 eller ip / 24 för att ignorera alla datorer i ett nätverk.

Godkänn ett paket och dess trafik


Att passera regler med surikat och bestämma att ett paket inte filtreras till exempel från en viss IP och TCP -protokollet så använder vi följande kommando i reglerfilerna som är etablerade i mappen / etc / suricata / rules
 Passera 192.168.0.1 vilken som helst (msg: "Acceptera all trafik från denna IP";)
För att se vilka moduler vi har aktiverat för Suricata öppnar vi ett terminalfönster och skriver sedan följande kommando:
 surikat-bygga-info
Vi har sett hur surikat med dess IDS -tjänst Baserat på regler för att kontrollera nätverkstrafik och ge varningar till systemadministratören när misstänkta händelser inträffar, är det mycket användbart så att det, tillsammans med andra nätverkssäkerhetssystem, tillåter oss att skydda våra data från felaktig åtkomst.
Suricata har funktionalitet och biblioteksalternativ som kan läggas till via plugins för att integreras som en bildskärm eller API i andra applikationer.
Något viktigt är att veta vilka tjänster som är aktiva och vad vi måste övervaka för att inte ha särskilt långa rapporter om tjänster eller hamnar som inte fungerar.
Om till exempel servrarna bara är webb och bara behöver port 80 för HTTP finns det ingen anledning att övervaka SMTP -tjänsten som är för att skicka e -post.Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
wave wave wave wave wave