معرفی
در این آموزش نحوه پیکربندی حالت داخلی سیستم پیشگیری از نفوذ (IPS) Suricata را در راکی لینوکس 8 خواهید آموخت. به طور پیش فرض Suricata به گونه ای پیکربندی شده است که به عنوان یک سیستم تشخیص نفوذ (IDS) اجرا شود، که فقط هشدارها را تولید می کند و ترافیک مشکوک را ثبت می کند. هنگامی که حالت IPS را فعال می کنید، Suricata می تواند به طور فعال ترافیک شبکه مشکوک را علاوه بر ایجاد هشدار برای تجزیه و تحلیل بیشتر، حذف کند.
قبل از فعال کردن حالت IPS، مهم است که بررسی کنید کدام امضاها را فعال کردهاید و اقدامات پیشفرض آنها را بررسی کنید. امضای پیکربندی نادرست یا امضای بیش از حد گسترده ممکن است منجر به کاهش ترافیک قانونی به شبکه شما شود یا حتی دسترسی شما به سرورهای خود را از طریق SSH و سایر پروتکل های مدیریتی مسدود کند.
در قسمت اول این آموزش، امضاهایی را که نصب و فعال کرده اید بررسی می کنید. همچنین یاد خواهید گرفت که چگونه امضاهای خود را وارد کنید. هنگامی که بدانید از کدام امضاها می خواهید در حالت IPS استفاده کنید، عملکرد پیش فرض آنها را به حذف یا رد ترافیک تبدیل می کنید. با امضای خود، یاد خواهید گرفت که چگونه ترافیک شبکه را از طریق Suricata با استفاده از netfilter NFQUEUE iptables target ارسال کنید و سپس مقداری ترافیک شبکه نامعتبر ایجاد کنید تا اطمینان حاصل کنید که Suricata آن را همانطور که انتظار می رود حذف می کند.
پیش نیازها
- Suricata را روی سرور Rocky Linux 8 اجرا کنید.
- همچنین باید مجموعه قوانین باز ET را با استفاده از دستور suricata-update دانلود کرده و در امضاهای Suricata خود قرار دهید.
- خط فرمان jq ابزار پردازش JSON. اگر آن را از آموزش قبلی نصب نکرده اید، می توانید با استفاده از دستور dnf این کار را انجام دهید:
sudo dnf install jq
مرحله 1 – شامل امضاهای سفارشی
آموزش های قبلی در این مجموعه به بررسی نحوه نصب و پیکربندی Suricata و همچنین نحوه درک امضاها پرداخته است. اگر میخواهید قوانین خود را ایجاد و اضافه کنید، باید فایل /etc/suricata/suricata.yaml Suricata را ویرایش کنید تا یک مسیر سفارشی برای امضاهای خود داشته باشید.
ابتدا، بیایید IP های عمومی سرور خود را پیدا کنیم تا بتوانید از آنها در امضاهای سفارشی خود استفاده کنید. برای پیدا کردن IP های خود می توانید از دستور ip استفاده کنید:
ip -brief address show
شما باید خروجی هایی مانند زیر دریافت کنید:
lo UNKNOWN 127.0.0.1/8 ::1/128
eth0 UP 203.0.113.0.5/20 10.20.0.5/16 2001:DB8::1/32 fe80::94ad:d4ff:fef9:cee0/64
eth1 UP 10.137.0.2/16 fe80::44a2:ebff:fe91:5187/64
آدرس(های) IP عمومی شما مشابه آی پی های هایلایت شده 203.0.113.0.5 و 2001:DB8::1/32 در خروجی خواهد بود.
اکنون اجازه دهید امضای سفارشی زیر را برای اسکن ترافیک SSH به پورت های غیر SSH ایجاد کنیم و آن را در فایلی به نام /var/lib/suricata/rules/local.rules قرار دهیم. فایل را با nano یا ویرایشگر دلخواه خود باز کنید:
sudo vi /var/lib/suricata/rules/local.rules
امضای زیر را کپی و پیست کنید:
آدرس IP عمومی سرور خود را به جای آدرس های 203.0.113.5 و 2001:DB8::1/32 در قانون جایگزین کنید. اگر از IPv6 استفاده نمی کنید، می توانید از افزودن آن امضا در این قوانین و قوانین زیر صرفنظر کنید.
بسته به شبکه و برنامه های خود می توانید به افزودن امضاهای سفارشی به این فایل local.rules ادامه دهید. به عنوان مثال، اگر می خواهید در مورد ترافیک HTTP به پورت های غیر استاندارد هشدار دهید، می توانید از امضاهای زیر استفاده کنید:
برای افزودن امضایی که ترافیک TLS را به پورت هایی غیر از 443 پیش فرض برای سرورهای وب بررسی می کند، موارد زیر را اضافه کنید:
پس از تکمیل امضا، فایل را ذخیره کرده و ببندید. اگر از vi استفاده می کنید، ESC و سپس 😡 و سپس ENTER را برای ذخیره و خروج فشار دهید.
اکنون که تعدادی امضای سفارشی تعریف کردهاید، فایل پیکربندی Suricata /etc/suricata/suricata.yaml را با استفاده از nano یا ویرایشگر دلخواه خود ویرایش کنید تا آنها را در بر بگیرد:
sudo vi /etc/suricata/suricata.yaml
فایل های قانون را پیدا کنید: بخشی از پیکربندی. اگر از vi استفاده می کنید، 1879gg را برای رفتن به خط وارد کنید. مکان دقیق فایل شما ممکن است متفاوت باشد، اما شما باید در ناحیه کلی فایل قرار داشته باشید.
بخش را ویرایش کنید و خط برجسته شده زیر را اضافه کنید – local.rules:
فایل را ذخیره کرده و از آن خارج شوید. مطمئن شوید که پیکربندی Suricata را پس از افزودن قوانین خود تأیید کنید. برای این کار دستور زیر را اجرا کنید:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
بسته به تعداد قوانینی که در فایل پیشفرض suricata.rules بارگیری کردهاید، آزمایش ممکن است کمی طول بکشد. اگر متوجه شدید که آزمایش خیلی طول می کشد، می توانید با اضافه کردن یک # به ابتدای خط، روی خط – suricata.rules در تنظیمات نظر دهید و سپس دوباره تست پیکربندی خود را اجرا کنید. اگر میخواهید از امضای suricata.rules در پیکربندی نهایی در حال اجرا استفاده کنید، حتماً # نظر را حذف کنید.
هنگامی که از امضاهایی که با استفاده از ابزار suricata-update ایجاد یا اضافه کرده اید راضی شدید، می توانید به مرحله بعدی بروید، جایی که عملکرد پیش فرض امضاهای خود را از هشدار یا ثبت به حذف فعال ترافیک تغییر دهید.
مرحله 2 – پیکربندی اقدامات امضا
اکنون که امضاهای سفارشی خود را آزمایش کردهاید و با Suricata کار میکنید، میتوانید عمل را به حذف یا رد تغییر دهید. وقتی Suricata در حالت IPS کار می کند، این اقدامات به طور فعال ترافیک نامعتبر را برای هر امضای منطبق مسدود می کند.
این دو عمل در آموزش قبلی این مجموعه، درک امضای سوریکاتا توضیح داده شده است. انتخاب این که از کدام عمل استفاده کنید به شما بستگی دارد. یک عمل رها کردن بلافاصله یک بسته و هر بسته بعدی را که به جریان شبکه تعلق دارد دور می اندازد. اگر ترافیک مبتنی بر TCP باشد، یک اقدام رد برای مشتری و سرور یک بسته بازنشانی و یک بسته خطای ICMP برای هر پروتکل دیگری ارسال میکند.
بیایید از قوانین سفارشی بخش قبل استفاده کنیم و آنها را به استفاده از اکشن drop تبدیل کنیم، زیرا ترافیکی که آنها مطابقت دارند احتمالاً یک اسکن شبکه یا یک اتصال نامعتبر دیگر است.
فایل /var/lib/suricata/rules/local.rules خود را با استفاده از nano یا ویرایشگر دلخواه خود باز کنید و عمل هشدار را در ابتدای هر خط در فایل تغییر دهید تا رها شود:
sudo vi /var/lib/suricata/rules/local.rules
مرحله بالا را برای هر گونه امضا در /var/lib/suricata/rules/suricata.rules که میخواهید به حالت رها یا رد تبدیل کنید، تکرار کنید.
هنگامی که همه امضاها را با عملکردی که می خواهید انجام دهند پیکربندی کردید، مرحله بعدی پیکربندی مجدد و سپس راه اندازی مجدد Suricata در حالت IPS است.
مرحله 3 – فعال کردن حالت nfqueue
Suricata به طور پیش فرض در حالت IDS اجرا می شود، به این معنی که به طور فعال ترافیک شبکه را مسدود نمی کند. برای تغییر به حالت IPS، باید فایل پیکربندی /etc/sysconfig/suricata Suricata را ویرایش کنید.
فایل را در nano یا ویرایشگر دلخواه خود باز کنید:
sudo vi /etc/sysconfig/suricata
خط OPTIONS=”-i eth0 –user suricata” را پیدا کنید و با اضافه کردن یک # به ابتدای خط آن را نظر دهید. سپس یک خط جدید OPTIONS=”-q 0 -vvv –user suricata” اضافه کنید که به Suricata می گوید در حالت IPS اجرا شود.
پس از اتمام ویرایش، فایل شما باید دارای خطوط برجسته زیر باشد:
ذخیره کنید و فایل را ببندید. اکنون می توانید Suricata را با استفاده از systemctl مجددا راه اندازی کنید:
sudo systemctl restart suricata.service
وضعیت Suricata را با استفاده از systemctl بررسی کنید:
sudo systemctl status suricata.service
شما باید خروجی هایی مانند زیر دریافت کنید:
● suricata.service - Suricata Intrusion Detection Service
Loaded: loaded (/usr/lib/systemd/system/suricata.service; disabled; vendor preset: disabled)
Active: active (running) since Tue 2021-12-14 16:52:07 UTC; 6s ago
Docs: man:suricata(1)
Process: 44256 ExecStartPre=/bin/rm -f /var/run/suricata.pid (code=exited, status=0/SUCCESS)
Main PID: 44258 (Suricata-Main)
Tasks: 10 (limit: 11188)
Memory: 52.8M
CGroup: /system.slice/suricata.service
└─44258 /sbin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid -q 0 -vvv --user suricata
. . .
Dec 14 16:52:07 suricata suricata[44258]: 14/12/2021 -- 16:52:07 - <Notice> - all 4 packet processing threads, 4 management threads initialized, engine started.
به خط فعال (در حال اجرا) برجسته شده توجه کنید که نشان می دهد Suricata با موفقیت مجدد راه اندازی شده است.
با این تغییر اکنون در مرحله بعد آماده ارسال ترافیک به Suricata با استفاده از Firewalld هستید.
مرحله 4 – پیکربندی فایروالد برای ارسال ترافیک به Suricata
اکنون که Suricata را برای پردازش ترافیک در حالت IPS پیکربندی کرده اید، گام بعدی هدایت بسته های ورودی به Suricata است. اگر آموزش های پیش نیاز این مجموعه را دنبال کرده اید و از سیستم Rocky Linux 8 استفاده می کنید، باید Firewalld را نصب و فعال کنید.
برای افزودن قوانین لازم برای Suricata به فایروالد، باید دستورات زیر را اجرا کنید:
sudo firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT 0 -p tcp –dport 22 -j NFQUEUE –queue-bypass
sudo firewall-cmd –permanent –direct –add-rule ipv4 filter OUTPUT 0 -p tcp –sport 22 -j NFQUEUE –queue-bypass
این دو قانون تضمین میکنند که ترافیک SSH در رابطهای IPv4 از Suricata عبور میکند تا بتوانید با استفاده از SSH به سرور خود متصل شوید، حتی زمانی که Suricata در حال اجرا نیست. بدون این قوانین، یک امضای نادرست یا بیش از حد گسترده می تواند دسترسی SSH شما را مسدود کند. علاوه بر این، اگر Suricata متوقف شود، تمام ترافیک به هدف NFQUEUE ارسال می شود و سپس از آنجایی که Suricata در حال اجرا نیست، حذف می شود.
با استفاده از دستورات زیر قوانین مشابهی را برای IPv6 اضافه کنید:
sudo firewall-cmd –permanent –direct –add-rule ipv6 filter INPUT 0 -p tcp –dport 22 -j NFQUEUE –queue-bypass
sudo firewall-cmd –permanent –direct –add-rule ipv6 filter OUTPUT 0 -p tcp –sport 22 -j NFQUEUE –queue-bypass
در مرحله بعد، قوانین FORWARD را اضافه کنید تا مطمئن شوید که اگر سرور شما به عنوان دروازه ای برای سیستم های دیگر عمل می کند، تمام آن ترافیک نیز برای پردازش به Suricata می رود.
sudo firewall-cmd –permanent –direct –add-rule ipv4 filter FORWARD 0 -j NFQUEUE
sudo firewall-cmd –permanent –direct –add-rule ipv6 filter FORWARD 0 -j NFQUEUE
دو قانون نهایی INPUT و OUTPUT تمام ترافیک باقیمانده را که ترافیک SSH نیستند برای پردازش به Suricata ارسال می کند.
sudo firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT 1 -j NFQUEUE
sudo firewall-cmd –permanent –direct –add-rule ipv4 filter OUTPUT 1 -j NFQUEUE
دستورات را برای ترافیک IPv6 تکرار کنید:
sudo firewall-cmd –permanent –direct –add-rule ipv6 filter INPUT 1 -j NFQUEUE
sudo firewall-cmd –permanent –direct –add-rule ipv6 filter OUTPUT 1 -j NFQUEUE
اکنون فایروالد را مجدداً بارگیری کنید تا قوانین پایدار بماند:
sudo firewall-cmd –reload
در این مرحله از آموزش شما Suricata را برای اجرا در حالت IPS پیکربندی کرده اید و ترافیک شبکه شما به طور پیش فرض به Suricata ارسال می شود. شما می توانید سرور خود را در هر زمانی راه اندازی مجدد کنید و قوانین Suricata و فایروال شما پایدار خواهند بود.
آخرین مرحله در این آموزش این است که تأیید کنید Suricata ترافیک را به درستی حذف می کند.
مرحله 5 – تست ترافیک نامعتبر
اکنون که Suricata و فایروال خود را برای پردازش ترافیک شبکه پیکربندی کردهاید، میتوانید آزمایش کنید که آیا Suricata بستههایی را که با امضاهای سفارشی شما و سایر امضاهای موجود مطابقت دارند را حذف میکند یا خیر.
امضای sid:2100498 را از آموزش قبلی به یاد بیاورید، که در این مثال برای رها کردن بسته های منطبق اصلاح شده است:
میتوانید تأیید کنید که Suricata پاسخ HTTP را با استفاده از jq برای بررسی فایل eve.log حذف کرده است:
sudo jq ‘select(.alert .signature_id==2100498)’ /var/log/suricata/eve.json
شما باید خروجی هایی مانند زیر دریافت کنید:
{
. . .
"community_id": "1:SbOgFh2T3DZvwsoyMH4xfxOoVas=",
"alert": {
"action": "blocked",
"gid": 1,
"signature_id": 2100498,
"rev": 7,
"signature": "GPL ATTACK_RESPONSE id check returned root",
"category": "Potentially Bad Traffic",
"severity": 2,
"metadata": {
"created_at": [
"2010_09_23"
],
"updated_at": [
"2010_09_23"
]
}
},
"http": {
"hostname": "testmynids.org",
"url": "/uid/index.html",
"http_user_agent": "curl/7.61.1",
"http_content_type": "text/html",
"http_method": "GET",
"protocol": "HTTP/1.1",
"status": 200,
"length": 39
},
. . .
خط برجسته “اقدام”: “blocked” تأیید می کند که امضا مطابقت دارد و Suricata درخواست HTTP آزمایشی را رد یا رد کرده است.
نتیجه
در این آموزش شما Suricata را برای مسدود کردن ترافیک شبکه مشکوک با استفاده از حالت IPS داخلی خود در راکی لینوکس 8 پیکربندی کردهاید. همچنین امضاهای سفارشی را برای بررسی و مسدود کردن ترافیک SSH، HTTP و TLS در پورتهای غیر استاندارد اضافه کردهاید. برای گره زدن همه چیز به هم، قوانین فایروال را نیز برای هدایت ترافیک از طریق Suricata برای پردازش اضافه کردید.
اکنون که Suricata را در حالت IPS نصب و پیکربندی کردهاید و میتوانید امضاهای خود را بنویسید که ترافیک مشکوک را هشدار میدهد یا آن را رها میکند، میتوانید به نظارت بر سرورها و شبکههای خود ادامه دهید و امضاهای خود را اصلاح کنید.
هنگامی که از امضاها و پیکربندی Suricata خود راضی شدید، میتوانید آخرین آموزش این مجموعه را ادامه دهید، که شما را از طریق ارسال گزارشها از Suricata به سیستم مدیریت رویدادهای امنیتی و اطلاعات (SIEM) که با استفاده از Elastic Stack ساخته شده است، راهنمایی میکند.
https://vpsgol.net/product/vps-germany/
https://vpsgol.net/product/vps-usa/
https://vpsgol.net/product/vps-france/
https://vpsgol.net/product/vps-canada/
https://vpsgol.net/product/vps-poland/
https://vpsgol.net/product/vps-netherlands/
https://vpsgol.net/product/vps-england/