SURICATA LÀ GÌ

     

Mục lục

Suricata là phương án IDS/IPS mã nguồn mở công dụng cho các khối hệ thống mạng không được đầu tư chi tiêu các chiến thuật IDS/IPS yêu đương mại. Nó được phát hành từ các thành phần khác biệt và khả năng buổi giao lưu của nó tùy thuộc vào phương pháp cấu hình, thiết đặt cho hệ thống. Ở chế độ mặc định được xem là cơ chế vận động tương đối buổi tối ưu cho việc phát hiện những dạng tấn công mạng.

Bạn đang xem: Suricata là gì

Bước trước tiên trong quá trình xử lý là thu thập các gói tin với module Packet Acquisition. Mudule này có công dụng thu thập gói tin tự cổng mạng và chuyển tiếp chúng cho để giải thuật gói tin(decoder), nơi chịu đựng trách nghiệm cho bài toán xác đinh các loại liên kết và chuẩn hóa dữ liệu cho những tiến trình khác. Tiếp theo, dữ liệu sẽ tiến hành chuyển tới stream module. Stream làm trọng trách nhóm những dạng dữ liệu và reassembly những gói dữ liệu. Kế tiếp dữ liệu được chuyển vào module phân phát hiện, vị trí phân tích gói tin nhằm phát hiện các tân công mạng dựa trên những dấu hiệu. Cuối cùng, cảnh báo được đưa ra khi có các dấu hiệu được phát hiện cùng được nhờ cất hộ tới output đầu ra module, tài liệu đầu ra có thể được xác minh ở những dạng không giống nhau.

Suricata có thể được xúc tiến theo 02 cơ chế: nguyên lý phát hiện(IDS) và phòng chặn(IPS).Khi thực thi theo phương pháp IPS, toàn bộ dữ liệu phân vùng mạng được cấu hình đi qua thiết bị thu thập log với 02 cổng mạng và áp dụng Iptables để chuyển tiếp dữ liệu an toàn. Quá trình được biểu đạt như hình dưới.

*

*

Theo đó, tài liệu vào khối hệ thống mạng được đi qua cổng mạng đồ vật 1, trên đây hệ thống tiến hành đối chiếu gói tin và gửi ra những xử lý. Những dạng xử lý bao gồm: Pass, Drop, Reject, Alert đối với cơ chế IPS, với Pass, Alert, Log đối với chế độ IDS.

Như vậy, đối với các dữ liệu thông thường sẽ được đưa sang cổng mạng sản phẩm 2 bằng phương pháp sử dụng forward trong Iptables.

Xem thêm: Bài Văn Và Dàn Ý Thuyết Minh Về Cây Phượng Vĩ Chi Tiết Nhất, Dàn Ý Thuyết Minh Về Cây Phượng Lớp 9 Chi Tiết


sudo iptables -I FORWARD -i eth0 -o eth1 -j NFQUEUEsudo iptables -I FORWARD -i eth1 -o eth0 -j NFQUEUE
Đối cùng với tích hợp chính sách IDS lên hệ thống thu thập dữ liệu thông qua tính năng SPAN PORT trên switch. Từ bỏ đó, tài liệu theo các tiến trình xử lý và chuyển ra các cảnh báo về bình yên mạng.

Ngoài khoảng con số lớn vẻ ngoài được tích đúng theo sẵn, suricata có thể chấp nhận được định dạng các luật mới cho khối hệ thống dựa trên các dấu hiệu thừa nhận dạng và các hành vi. Những thành phần trong câu hỏi tạo giải pháp trên mã nguồn mở kha khá dể hiểu.

Ví dụ dưới đây hệ thống sẽ gửi ra cảnh báo khi có người tiêu dùng tải file tất cả nội dung đựng từ khóa evil.

Xem thêm: Tiền Việt Nam Được In Ở Nước Nào ? Năm Nào? Nước Nào Sản Xuất


$HOME_NET any (msg:”Users DownloadingEvil); content:”evil”; sid:55555555; rev:1;">

alert tcp $EXTERNAL_NET 80 ->$HOME_NET any (msg:”Users DownloadingEvil); content:”evil”; sid:55555555; rev:1;

1. Thiết lập Suricata

1.1 setup từ Source

Tiến hành sở hữu gói cài đặt Suricata tại đây


tar xzvf suricata-4.0.0.tar.gzcd suricata-4.0.0./configuremakemake install
Sau khi thiết lập thành công, file cấu hình mặc định nằm tại /usr/local/etc/suricata, và file log nằm tại /usr/local/var/log/suricata

1.1.1 Một vài ba tùy lựa chọn cấu dường như sau

--disable-gccmarch-native: vì not optimize the binary for the hardware it is built on. địa chỉ cửa hàng this flag if the binary is meant lớn be portable or if Suricata is lớn be used in a VM.--prefix=/usr/: cài đặt Suri nằm tại /usr/bin. Default tại /usr/local/--localstatedir=/var: Định nghĩa lại file log nằm ở /var/log/suricata thay vày mặc định /usr/local/var/log/suricata--enable-lua: Enable Lua--enable-geoip: Enable GeoIP cung ứng cho vấn đề detection--enable-rust: Enables experimental Rust support

1.1.1.1 Ubuntu/Debian

Minimal:
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev make libmagic-dev
Recommended:
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev
Extra for iptables/nftables IPS integration:
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnetfilter-log-dev libnetfilter-log1 libnfnetlink-dev libnfnetlink0
For Rust tư vấn (Ubuntu only):
apt-get install rustc cargo

1.2 Binary packages

1.2.1 Ubuntu


sudo add-apt-repository ppa:oisf/suricata-stablesudo apt-get updatesudo apt-get install suricata

1.2.2 Debian


apt-get install suricata

1.2.3 Fedora


dnf install suricata

1.2.3 RHEL/CentOS


yum install epel-releaseyum install suricata
Thảm khảo
Go