Suricata 1.4.4 Verëffentlecht - En Netzwierkintrusiounserkennung, Präventioun a Sécherheetsmonitoring System
Suricata ass en Open Source High-Performance modernen Network Intrusion Detection, Prevention and Security Monitoring System fir Unix/Linux, FreeBSD a Windows baséiert Systemer. Et gouf entwéckelt a Besëtz vun enger Net-Gewënn Stëftung der OISF (Open Information Security Foundation).
Viru kuerzem huet d'OISF Projektteam d'Verëffentlechung vu Suricata 1.4.4 mat klengen awer entscheedende Updates ugekënnegt an e puer wesentlech Bugs iwwer déi fréier Verëffentlechung fixéiert.
Suricata Fonctiounen
Suricata ass e Regel-baséiert Intrusiounserkennung a Präventiounsmotor deen vun extern entwéckelte Regele Sets benotzt fir den Netzverkéier ze iwwerwaachen, wéi och fäeg ass Multiple Gigabyte Traffic ze handhaben an E-Mail Alarmer un d'System-/Netzwierk Administrateuren ze ginn.
Suricata bitt Geschwindegkeet a Wichtegkeet bei der Bestëmmung vum Netzverkéier. De Motor ass entwéckelt fir déi verstäerkte Veraarbechtungskraaft vun modernen Multi-Core Hardware Chipsets anzesetzen.
De Motor bitt net nëmmen Schlësselwierder fir TCP, UDP, ICMP an IP, awer huet och eng agebaute Support fir HTTP, FTP, TLS a SMB. E Systemadministrator kann seng eege Regel erstellen fir e Match an engem HTTP-Stream z'entdecken. Dëst wäert verschidde Malware Detektioun a Kontroll ginn.
De Motor wäert sécher Reegelen huelen déi IP Matcher baséiert op der RBN a kompromittéiert IP Lëschte bei Emerging Threats an halen se an e spezifesche séier passende Preprocessor.
Schrëtt: 1 Installéiere Suricata an RHEL, CentOS a Fedora
Dir musst de Fedora's EPEL Repository benotzen fir e puer erfuerderlech Packagen fir i386 an x86_64 Systemer z'installéieren.
- Fedora's EPEL Repository aktivéieren
Ier Dir Suricata fir Äre System kompiléiere kënnt a bauen, installéiert déi folgend Ofhängegkeetspäck déi fir weider Installatioun erfuerderlech sinn. De Prozess kann eng Zäit daueren fir ze kompletéieren, ofhängeg vun der Internetgeschwindegkeet.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel
Als nächst baut Suricata mat IPS Support. Fir dëst brauche mir libnfnetlink an libnetfilter_queue Packagen, awer dës pre-built Packagen sinn net an den EPEL oder CentOS Base Repositories verfügbar. Also, mir musse Rpms aus dem Emerging Threats CentOS Repository eroflueden an installéieren.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Luet déi lescht Suricata Quelldateien erof a baut se mat de folgende Kommandoen.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Elo benotze mir d'Suricata Auto Setup Feature fir automatesch all néideg Verzeichnisser, Konfiguratiounsdateien an déi lescht Regelen ze kreéieren.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Schrëtt 2: Installéiere Suricata an Debian an Ubuntu
Ier Dir mat der Installatioun ufänkt, musst Dir déi folgend Viraussetzungspäck um System installéiert hunn fir weiderzegoen. Vergewëssert Iech datt Dir root Benotzer muss sinn fir de folgende Kommando auszeféieren. Dësen Installatiounsprozess kann e bëssen Zäit daueren, ofhängeg vun der aktueller Geschwindegkeet vun Ärem Internet.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config magic file libhtp-dev
Par défaut funktionnéiert als IDS. Wann Dir IDS Ënnerstëtzung derbäi wëllt, installéiert e puer néideg Packagen wéi follegt.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Luet déi lescht Suricata Tar-Ball erof a baut et mat de folgende Kommandoen.
# cd /tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar -xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Benotzt d'Suricata Auto Setup Optioun fir all erfuerderlech Verzeichnungen, Konfiguratiounsdateien a Regelen automatesch ze kreéieren wéi hei ënnendrënner.
# ./configure && make && make install-conf # ./configure && make && make install-rules # ./configure && make && make install-full
Schrëtt 3: Suricata Basic Setup
Nodeems Dir Suricata erofgelueden an installéiert hutt, ass et elo Zäit fir op Basis Setup weiderzekommen. Erstellt folgend Direktiounen.
# mkdir /var/log/suricata # mkdir /etc/suricata
Den nächsten Deel ass fir Konfiguratiounsdateien wéi classification.config, reference.config an suricata.yaml aus dem Basisbauinstallatiounsverzeechnes ze kopéieren.
# cd /tmp/suricata-1.4.4 # cp classification.config /etc/suricata # cp reference.config /etc/suricata # cp suricata.yaml /etc/suricata
Endlech, start de Suricata Engine fir d'éischte Kéier a spezifizéieren den Interface Apparat Numm vun Ärer Preferenz. Amplaz eth0 kënnt Dir d'Netzkaart vun Ärer Preferenz enthalen.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 -- 12:22:45 - - This is Suricata version 1.4.4 RELEASE 23/7/2013 -- 12:22:45 - - CPUs/cores online: 2 23/7/2013 -- 12:22:45 - - Found an MTU of 1500 for 'eth0' 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 65535 defrag trackers of size 104 23/7/2013 -- 12:22:45 - - defrag memory usage: 8912792 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - AutoFP mode using default "Active Packets" flow load balancer 23/7/2013 -- 12:22:45 - - preallocated 1024 packets. Total memory 3170304 23/7/2013 -- 12:22:45 - - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 1000 hosts of size 76 23/7/2013 -- 12:22:45 - - host memory usage: 207072 bytes, maximum: 16777216 23/7/2013 -- 12:22:45 - - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32 23/7/2013 -- 12:22:45 - - preallocated 10000 flows of size 176 23/7/2013 -- 12:22:45 - - flow memory usage: 3857152 bytes, maximum: 33554432 23/7/2013 -- 12:22:45 - - IP reputation disabled 23/7/2013 -- 12:22:45 - - using magic-file /usr/share/file/magic
No e puer Minutten méi spéit, kontrolléiert de Motor richteg funktionnéiert a kritt an iwwerpréift de Verkéier.
# cd /usr/local/var/log/suricata/ # ls -l -rw-r--r-- 1 root root 25331 Jul 23 12:27 fast.log drwxr-xr-x 2 root root 4096 Jul 23 11:34 files -rw-r--r-- 1 root root 12345 Jul 23 11:37 http.log -rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log -rw-r--r-- 1 root root 22853 Jul 23 11:53 unified2.alert.1374557837 -rw-r--r-- 1 root root 2691 Jul 23 12:09 unified2.alert.1374559711 -rw-r--r-- 1 root root 2143 Jul 23 12:13 unified2.alert.1374559939 -rw-r--r-- 1 root root 6262 Jul 23 12:27 unified2.alert.1374560613
Kuckt stats.log Datei a gitt sécher datt déi ugewisen Informatioun an Echtzäit aktualiséiert gëtt.
# tail -f stats.log tcp.reassembly_memuse | Detect | 0 tcp.reassembly_gap | Detect | 0 detect.alert | Detect | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
Referenz Linken
Suricata Homepage
Suricata User Guide