Sistema di rilevamento degli intrusi Suricata

Sistema di rilevamento degli intrusi Suricata | Sicurezza 2024
Sistema di rilevamento degli intrusi Suricata | Sicurezza 2024
Suricata si basa sul sistema Snort IDS, che è anche a sistema di rilevamento delle intrusioni, Snort lo abbiamo visto in altri tutorial come:
  • Strumenti di prevenzione e sicurezza degli hacker
  • Rafforzamento della sicurezza di server e sistemi operativi

Meerkat in grado di eseguire analisi multi-thread, decodificare in modo nativo i flussi di rete e assemblare file di flusso di rete durante l'esecuzione dell'analisi.

Questo strumento è molto scalabile, ciò significa che può eseguire più istanze e bilanciare il carico se abbiamo più processori, consentendo l'utilizzo del pieno potenziale di un team. Questo ci permette di non avere problemi di consumo di risorse mentre eseguiamo un'analisi.
I protocolli più comuni vengono riconosciuti automaticamente da suricato, tanto http, https, ftp, smtp, pop3 e altri, permettendoci così di configurare regole per i permessi e il filtraggio del traffico in entrata e in uscita, controlliamo anche la porta attraverso la quale si accede a ciascun protocollo.
Un altro servizio che fornisce è l'identificazione Archivio, Checksum MD5 e controllo dei file compressi. Suricata può identificare quali tipi di file vengono trasferiti o a cui si accede sulla rete. Se vogliamo accedere a un file, questa attività farà sì che Suricata crei un file su disco con il formato dei metadati che descrive la situazione e l'attività eseguita. Il checksum MD5 viene utilizzato per determinare che il file di metadati che memorizza le informazioni sulle attività eseguite non è stato modificato.

Installa Suricata nel nostro sistema operativo


Suricata può essere utilizzato su qualsiasi piattaforma Linux, Mac, FreeBSD, UNIX e Windows, possiamo scaricarlo dal suo sito ufficiale o se abbiamo Linux per installarlo dai repository.

Installeremo Suricata in questo tutorial su Linux Mint. Per installare Suricata apriamo una finestra di terminale e digitiamo i seguenti comandi: 
 sudo add-apt ppa-repository: oisf / meerkat stable sudo update apt-get sudo apt-get install meerkat
Con questo sarebbe installato.

Configura Suricata su un server


Da Linux dovremo accedere al terminale in modalità amministratore, inizieremo con la creazione di una cartella dove memorizzare le informazioni che Suricata raccoglierà e registrerà. 
 sudo mkdir / var / log / meerkat
Dobbiamo anche verificare che il sistema sia nella cartella etc, altrimenti lo creiamo: 
 sudo mkdir / etc / meerkat
Avremo già installato Suricata e il Sistema antintrusione e analizzatore di traffico di rete. In questa fase non ci sono regole definite da filtrare, quindi dobbiamo creare regole o utilizzare. Emerging Threats, che è un archivio di regole e minacce note per Snort e Suricata, qualcosa come un database antivirus ma per le intrusioni, l'utilizzo delle regole Emerging Threats è gratuito e gratuito.
Quindi possiamo scaricare i file delle regole dal terminale con i seguenti comandi: 
 wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Quindi dobbiamo decomprimere il file e copiarlo nella cartella /etc/suricata 
 tar zxvf emergenti.rules.tar.gz cp -r regole / etc / suricata /
Successivamente dovremo configurare il Motore di analisi Suricata, con la configurazione di default utilizzerà le interfacce di rete eth0 con le regole che contiene e che definiamo nel file firme.regolePer configurare nuove regole dobbiamo usare il seguente comando: 
 meerkat -c meerkat.yaml -s firme.rules -i eth0
Le regole verranno configurate.

Interfacce di rete disponibili


Per verificare le connessioni o le interfacce di rete disponibili, da una finestra di terminale scriviamo il seguente comando: 
 Ifconfig

Ora puoi vedere quale vogliamo controllare conoscendo l'IP di ognuno e il suo nome. Per avviare il motore e assegnare un'interfaccia di rete, ad esempio la rete Wi-Fi, scriviamo il seguente comando: 
 sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
Se vogliamo controllare la rete cablata useremo eth0. Per vedere se il motore funziona correttamente e sta effettivamente eseguendo delle ispezioni sulla rete, dobbiamo utilizzare il seguente comando: 
 cd / var / log / suricata tail http.log
Questo ci mostrerà un elenco con la data, l'ora e il web o l'IP a cui è stato effettuato l'accesso e attraverso quale porta. Se osserviamo i file statslog, possiamo osservare il flusso di traffico e gli avvisi rilevati, dobbiamo distinguere le pagine che navighiamo da quelle che vengono reindirizzate tramite la pubblicità.

 tail -f stats.log
Possiamo anche scaricare i file di registro e aprirli con un editor di testo o il nostro software per migliorare la lettura.
Un esempio è un file Json denominato even.json

Qui possiamo vedere le porte utilizzate e l'ip possiamo vedere che l'ip 31.13.85.8 corrisponde a Facebook, rileviamo anche un accesso a c.live.com, che sarebbe il web di posta di Outlook.

Vediamo un altro registro in cui rileviamo l'accesso da Google Chrome al sito Web Solvetic.com.

Per non controllare tutto il traffico, possiamo determinare il monitor di un gruppo o di un utente specifico con il seguente comando. 
 sudo suricata -c /etc/suricata/suricata.yaml -D -i eth0 --user = jose01 --group = contabilità
Occorre tenere presente che l'esecuzione dei set di regole, anche di modeste dimensioni, per monitorare un flusso di traffico HTTP utilizzando i repository completi delle minacce e il relativo set di regole richiederà un consumo approssimativamente equivalente di risorse CPU e RAM. Mb al secondo anche se non è molto per influenzare un server.

Regole per ignorare il traffico


In alcuni casi ci sono motivi per ignorare un determinato traffico che non ci interessa monitorare. Forse un host o una rete fidati o un sito web.
Vedremo alcune strategie per ignorare il traffico con meerkat. Attraverso i filtri di cattura puoi dire a Suricata cosa seguire e cosa non seguire. Ad esempio, un semplice filtro di protocollo tcp controllerà solo i pacchetti TCP.
Se alcuni computer o reti dovessero essere ignorati, dovremmo usare not IP1 o ip/24, per ignorare tutti i computer su una rete.

Approvare un pacco e il relativo traffico


Passare regole con meerkat e determiniamo che un pacchetto non viene filtrato ad esempio da un certo IP e dal protocollo TCP allora utilizzeremo il seguente comando nei file delle regole stabiliti nella cartella /etc/suricata/regole 
 Passa 192.168.0.1 qualsiasi qualsiasi (msg: "Accetta tutto il traffico da questo ip";)
Per vedere quali moduli abbiamo attivato per Suricata, apriremo una finestra di terminale e poi digiteremo il seguente comando: 
 meerkat --build-info
Abbiamo visto come Meerkat con i suoi Servizio IDS Basato su regole per controllare il traffico di rete e fornire avvisi all'amministratore di sistema quando si verificano eventi sospetti, è molto utile affinché, accompagnato da altri sistemi di sicurezza della rete, ci permetta di proteggere i nostri dati da accessi impropri.
Suricata ha le funzionalità e le opzioni di libreria che possono essere aggiunte tramite plug-in per essere incorporate come monitor o API in altre applicazioni.
Qualcosa di importante è sapere quali servizi sono attivi e cosa dobbiamo monitorare per non avere segnalazioni molto lunghe di servizi o porti che non funzionano.
Se per esempio i server sono solo web e necessitano solo della porta 80 per HTTP, non c'è motivo di monitorare il servizio SMTP che serve per l'invio della posta.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Come rinominare il desktop virtuale di Windows 10
2
post-title
Creazione di database e tabelle in PhpMyAdmin
3
post-title
▷ Come installare l'interfaccia grafica in Ubuntu Server 21.04 - SCRIVANIA
4
post-title
Come disabilitare i programmi di avvio automatico Windows 10
5
post-title
Google porta la realtà aumentata con oggetti 3D da scaricare

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -