Sustav za otkrivanje uljeza Suricata

Sustav za otkrivanje uljeza Suricata | Sigurnost 2024
Sustav za otkrivanje uljeza Suricata | Sigurnost 2024
Suricata se temelji na Snort IDS sustavu, što je također a sustav detekcije upada, Snort vidjeli smo to u drugim vodičima kao što su:
  • Alati za sprečavanje hakera i sigurnost
  • Jačanje sigurnosti poslužitelja i operativnih sustava

Meerkat koji je sposoban za analizu s više niti, izvorno dekodiranje mrežnih tokova i sastavljanje datoteka mrežnih tokova tijekom izvođenja analize.

Ovaj je alat vrlo skalabilan, što znači da može pokrenuti nekoliko instanci i uravnotežiti opterećenje ako imamo nekoliko procesora, dopuštajući korištenje punog potencijala tima. To nam omogućuje da nemamo problema s potrošnjom resursa tijekom izvođenja analize.
Najčešći protokoli automatski prepoznaju Meerkat, tako puno http, https, ftp, smtp, pop3 i drugi, dopuštajući nam tako konfiguriranje pravila za dopuštenja i filtriranje dolaznog i odlaznog prometa, također kontroliramo port preko kojeg se pristupa svakom protokolu.
Druga usluga koju pruža je identifikacija Arhiva, Kontrolne sume MD5 i kontrolu komprimiranih datoteka. Suricata može identificirati koje se vrste datoteka prenose ili kojima se pristupa na mreži. Ako želimo pristupiti datoteci, ovaj će zadatak natjerati Suricatu da stvori datoteku na disku s formatom metapodataka koja opisuje situaciju i izvršeni zadatak. Kontrolni zbroj MD5 koristi se za utvrđivanje da datoteka metapodataka koja pohranjuje podatke o izvršenim zadacima nije promijenjena.

Instalirajte Suricata u naš operativni sustav


Suricata se može koristiti na bilo kojoj Linux platformi, Mac, FreeBSD, UNIX i Windows, možemo je preuzeti sa službene web stranice ili ako imamo Linux za instalaciju iz spremišta.

U ovaj ćemo vodič instalirati Suricatu na Linux Mint. Za instaliranje Suricate otvorimo prozor terminala i upisujemo sljedeće naredbe: 
 sudo add-apt ppa-spremište: oisf / meerkat stabilno sudo ažuriranje apt-get sudo apt-get instaliraj meerkat
S ovim bi se instalirao.

Postavite Suricata na poslužitelj


Iz Linuxa ćemo morati pristupiti terminalu u administratorskom načinu rada, počet ćemo s stvaranjem mape u koju će se pohraniti podaci koje će Suricata prikupljati i registrirati. 
 sudo mkdir / var / log / meerkat
Također moramo provjeriti je li sustav u mapi itd. U protivnom ga stvaramo: 
 sudo mkdir / etc / meerkat
Već ćemo imati instaliranu Suricatu i Sustav za otkrivanje upada i analizator mrežnog prometa. U ovoj fazi nema definiranih pravila za filtriranje pa moramo stvoriti pravila ili ih koristiti. Emerging Threats, spremište pravila i poznatih prijetnji za Snort i Suricata, nešto poput antivirusne baze podataka, ali za upade, korištenje pravila Emerging Threats besplatno je i besplatno.
Zatim možemo skinuti datoteke pravila s terminala sa sljedećim naredbama: 
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Zatim moramo raspakirati datoteku i kopirati je u mapu / etc / suricata 
 tar zxvf emerging.rules.tar.gz cp -r pravila / etc / suricata /
Zatim ćemo morati konfigurirati Suricata motor za raščlanjivanje, sa zadanom konfiguracijom će koristiti mrežna sučelja eth0 s pravilima koja sadrži i definiramo u datoteci potpisi.pravilaZa konfiguriranje novih pravila moramo koristiti sljedeću naredbu: 
 meerkat -c meerkat.yaml -s potpisi.rules -i eth0
Pravila će biti konfigurirana.

Dostupna mrežna sučelja


Kako bismo provjerili veze ili dostupna mrežna sučelja, iz prozora terminala ispisujemo sljedeću naredbu: 
 Ifconfig

Sada možete vidjeti koju želimo provjeriti znajući IP svakog od njih i njegovo ime. Za pokretanje stroja i dodjeljivanje mrežnog sučelja, na primjer Wi-Fi mreže, zapisujemo sljedeću naredbu: 
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Ako želimo izvršiti reviziju ožičene mreže, upotrijebit ćemo eth0. Da bismo provjerili radi li motor ispravno i izvršava li provjere na mreži, moramo upotrijebiti sljedeću naredbu: 
 cd / var / log / suricata tail http.log
To će nam pokazati popis s datumom, vremenom i internetom ili IP -om kojem je pristupljeno i kroz koji port. Ako pogledamo datoteke statističkog zapisa, možemo promatrati tijek prometa i otkrivena upozorenja, moramo razlikovati stranice koje pregledavamo od onih koje se preusmjeravaju oglašavanjem.

 tail -f stats.log
Također možemo preuzeti datoteke dnevnika i otvoriti ih uređivačem teksta ili vlastitim softverom za poboljšanje čitanja.
Primjer je Json datoteka koja se naziva even.json

Ovdje možemo vidjeti korištene portove i ip možemo vidjeti da ip 31.13.85.8 odgovara Facebooku, također otkrivamo pristup c.live.com, što bi bio Outlook mail web.

Pogledajmo još jedan zapisnik u kojem otkrivamo pristup Google Chromea web stranici Solvetic.com.

Kako ne bismo kontrolirali sav promet, sljedećom naredbom možemo odrediti monitor grupe ili određenog korisnika. 
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = računovodstvo
Moramo imati na umu da će izvršavanje skupova pravila, čak i skromne veličine, za praćenje protoka HTTP prometa korištenjem kompletnih spremišta prijetnji i njegov skup pravila zahtijevati približno jednaku potrošnju CPU i RAM resursa. Pri prometu od 50 Mb u sekundi iako to ne utječe mnogo na poslužitelj.

Pravila zanemarivanja prometa


U nekim slučajevima postoje razlozi za zanemarivanje određenog prometa koji nismo zainteresirani za praćenje. Možda pouzdani domaćin ili mreža ili web stranica.
Vidjet ćemo neke strategije zanemarivanja prometa uz meerkat. Kroz filtre za snimanje možete Suricati reći što treba slijediti, a što ne. Na primjer, jednostavan filtar tcp protokola provjeravat će samo TCP pakete.
Ako neka računala ili mreže treba zanemariti, ne bismo trebali koristiti IP1 ili ip / 24, za zanemarivanje svih računala na mreži.

Odobrite paket i njegov promet


Proći pravila s meerkatom i utvrditi da paket nije filtriran, na primjer s određenog IP -a i TCP protokola, tada ćemo upotrijebiti sljedeću naredbu u datotekama pravila postavljenim u mapi / etc / suricata / rules 
 Prođite 192.168.0.1 bilo koji bilo koji (msg: "Prihvati sav promet s ovog ip -a";)
Da bismo vidjeli koje smo module aktivirali za Suricatu, otvorit ćemo prozor terminala, a zatim upisati sljedeću naredbu: 
 meerkat --build-info
Vidjeli smo kako Meerkat sa svojim IDS usluga Na temelju pravila za kontrolu mrežnog prometa i davanje upozorenja administratoru sustava u slučaju sumnjivih događaja, vrlo je korisno tako da nam, u pratnji drugih sigurnosnih sustava mreže, omogućuje zaštitu naših podataka od nepravilnog pristupa.
Suricata ima mogućnosti funkcionalnosti i knjižnice koje se mogu dodati putem dodataka za ugradnju kao monitor ili API u druge aplikacije.
Nešto je važno znati koje su usluge aktivne i što moramo nadzirati kako ne bismo imali jako duga izvješća o uslugama ili priključcima koji ne rade.
Ako su, na primjer, poslužitelji samo web i trebaju samo port 80 za HTTP, nema razloga nadzirati SMTP uslugu koja služi za slanje pošte.Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod
wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Kako znati koji program koristi TCP port 80, 8080 ili drugi
2
post-title
Poništite i uklonite zaboravljenu lozinku za Windows 10 bez formatiranja Hiren -ovog BootCD PE
3
post-title
Kako riješiti problem sa zvukom Xiaomi Mi A2
4
post-title
Najbolji trikovi i kako postaviti Face ID na iPhone Xs i Xs Max
5
post-title
PHP Rad s nizovima ili nizovima

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -