Suricata Indringer Detectie Systeem

Suricata is gebaseerd op het Snort IDS-systeem, wat ook een inbraakdetectiesysteem, Snort we hebben het gezien in andere tutorials zoals:
  • Hackerpreventie- en beveiligingshulpmiddelen
  • Hardere beveiliging van servers en besturingssystemen

Meerkat die in staat is tot multi-threaded analyse, native netwerkstreams decoderen en netwerkstreambestanden samenstellen tijdens het uitvoeren van analyses.

Deze tool is zeer schaalbaar, dit betekent dat het meerdere instanties kan draaien en de belasting kan balanceren als we meerdere processors hebben, waardoor het volledige potentieel van een team kan worden gebruikt. Hierdoor hebben we geen problemen met het verbruik van hulpbronnen terwijl we een analyse uitvoeren.
De meest voorkomende protocollen worden automatisch herkend door: Stokstaartje, zo veel http, https, ftp, smtp, pop3 en andere, waardoor we regels kunnen configureren voor machtigingen en filtering van inkomend en uitgaand verkeer, we controleren ook de poort via welke elk protocol wordt benaderd.
Een andere service die het biedt, is identificatie Archief, MD5-controlesommen en controle van gecomprimeerde bestanden. Suricata kan identificeren welke soorten bestanden worden overgedragen of geopend op het netwerk. Als we toegang willen tot een bestand, zorgt deze taak ervoor dat Suricata een bestand op schijf maakt met een metadata-indeling die de situatie en de uitgevoerde taak beschrijft. De MD5-controlesom wordt gebruikt om te bepalen of het metadatabestand waarin de informatie over de uitgevoerde taken is opgeslagen, niet is gewijzigd.

Installeer Suricata in ons besturingssysteem


Suricata kan op elk Linux-platform worden gebruikt, Mac, FreeBSD, UNIX en Windows, we kunnen het downloaden van de officiële website of als we Linux hebben om het vanuit de repositories te installeren.

We zullen Suricata installeren in deze tutorial op Linux Mint. Om Suricata te installeren, openen we een terminalvenster en typen we de volgende opdrachten:
 sudo add-apt ppa-repository: oisf / meerkat stabiel sudo update apt-get sudo apt-get install meerkat
Hiermee zou het worden geïnstalleerd.

Suricata instellen op een server


Vanuit Linux hebben we toegang tot de terminal in de beheerdersmodus, we zullen beginnen met het maken van een map waarin de informatie wordt opgeslagen die Suricata zal verzamelen en registreren.
 sudo mkdir / var / log / meerkat
We moeten ook controleren of het systeem in de map etc staat, anders maken we het aan:
 sudo mkdir / etc / meerkat
We hebben Suricata al geïnstalleerd en de Inbraakdetectiesysteem en netwerkverkeersanalysator. In dit stadium zijn er geen gedefinieerde regels om te filteren, dus we moeten regels maken of gebruiken. Emerging Threats, een opslagplaats van regels en bekende bedreigingen voor Snort en Suricata, zoiets als een antivirusdatabase maar voor inbraken, is het gebruik van de Emerging Threats-regels gratis en gratis.
Dan kunnen we regelbestanden downloaden van de terminal met de volgende opdrachten:
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Vervolgens moeten we het bestand uitpakken en kopiëren naar de map / etc / suricata
 tar zxvf emerge.rules.tar.gz cp -r regels / etc / suricata /
Vervolgens moeten we de . configureren Suricata-ontledingsengine, met de standaardconfiguratie zal het de netwerkinterfaces eth0 gebruiken met regels die het bevat en die we in het bestand definiëren handtekeningen.rulesOm nieuwe regels te configureren, moeten we de volgende opdracht gebruiken:
 stokstaartje -c meerkat.yaml -s handtekeningen.rules -i eth0
De regels worden geconfigureerd.

Beschikbare netwerkinterfaces


Om de verbindingen of beschikbare netwerkinterfaces te controleren, schrijven we vanuit een terminalvenster de volgende opdracht:
 Ifconfig 

Nu kunt u zien welke we willen controleren, wetende van het IP-adres van elk en zijn naam. Om de engine te starten en een netwerkinterface toe te wijzen, bijvoorbeeld het wifi-netwerk, schrijven we de volgende opdracht:
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Als we het bekabelde netwerk willen controleren, gebruiken we eth0. Om te zien of de motor correct werkt en daadwerkelijk inspecties op het netwerk uitvoert, moeten we de volgende opdracht gebruiken:
 cd / var / log / suricata staart http.log
Dit toont ons een lijst met de datum, de tijd en het web of IP dat is geopend en via welke poort. Als we naar de statslog-bestanden kijken, kunnen we de verkeersstroom en de gedetecteerde waarschuwingen observeren, we moeten onderscheid maken tussen de pagina's die we doorbladeren en de pagina's die worden omgeleid via advertenties.

 staart -f stats.log
We kunnen de logbestanden ook downloaden en openen met een teksteditor of onze eigen software om het lezen te verbeteren.
Een voorbeeld is een Json-bestand met de naam even.json

Hier kunnen we de gebruikte poorten zien en de ip kunnen we zien dat de ip 31.13.85.8 overeenkomt met Facebook, we detecteren ook een toegang tot c.live.com, wat het Outlook-mailweb zou zijn.

Laten we een ander logboek bekijken waarin we toegang van Google Chrome tot de Solvetic.com-website detecteren.

Om niet al het verkeer te controleren, kunnen we de monitor van een groep of van een specifieke gebruiker bepalen met het volgende commando.
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = boekhouding
We moeten in gedachten houden dat het uitvoeren van de regelsets, zelfs van bescheiden omvang, om een ​​stroom van HTTP-verkeer te bewaken met behulp van de volledige opslagplaatsen voor bedreigingen en de set regels ervan, ongeveer een equivalent verbruik van CPU- en RAM-bronnen vereist bij een verkeer van 50. Mb per seconde hoewel het niet veel is om een ​​server te beïnvloeden.

Regels voor het negeren van verkeer


In sommige gevallen zijn er redenen om bepaald verkeer te negeren dat we niet willen monitoren. Misschien een vertrouwde host of netwerk of een website.
We zullen wel zien enkele strategieën om verkeer met stokstaartjes te negeren. Via de capture-filters kun je Suricata vertellen wat je wel en niet moet volgen. Een eenvoudig tcp-protocolfilter controleert bijvoorbeeld alleen TCP-pakketten.
Als sommige computers of netwerken moeten worden genegeerd, moeten we niet IP1 of ip / 24 gebruiken om alle computers in een netwerk te negeren.

Een pakket en zijn verkeer goedkeuren


Slagen regels met stokstaartjes en bepalen dat een pakket niet wordt gefilterd, bijvoorbeeld van een bepaald IP- en het TCP-protocol, dan zullen we het volgende commando gebruiken in de regelbestanden die zijn vastgelegd in de map / etc / suricata / regels
 Geef 192.168.0.1 door om het even welke (bericht: "Accepteer al het verkeer van dit ip";)
Om te zien welke modules we voor Suricata hebben geactiveerd, openen we een terminalvenster en typen we het volgende commando:
 meerkat --build-info
We hebben gezien hoe Meerkat met zijn IDS-service Op basis van regels om het netwerkverkeer te controleren en waarschuwingen te geven aan de systeembeheerder wanneer verdachte gebeurtenissen plaatsvinden, is het erg handig, zodat we, samen met andere netwerkbeveiligingssystemen, onze gegevens kunnen beschermen tegen ongeoorloofde toegang.
Suricata heeft de functionaliteit en bibliotheekopties die kunnen worden toegevoegd via plug-ins om als monitor of API in andere applicaties te worden opgenomen.
Iets belangrijks is om te weten welke services actief zijn en wat we moeten controleren om geen erg lange rapporten te krijgen van services of poorten die niet werken.
Als de servers bijvoorbeeld alleen web zijn en alleen poort 80 nodig hebben voor HTTP, is er geen reden om de SMTP-service voor het verzenden van e-mail te controleren.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven
wave wave wave wave wave