Суриката это современный высокопроизводительный Обнаружение сетевых вторжений, Профилактика и Система мониторинга безопасности для Unix/Linux, FreeBSD и Окна на базе систем. Он был разработан и принадлежит некоммерческому фонду The OISF (Фонд открытой информационной безопасности).
Недавно OISF команда проекта объявила о выпуске Suricata 1.4.4 с небольшими, но важными обновлениями и исправлены некоторые существенные ошибки по сравнению с предыдущей версией.
Суриката основанный на правилах Обнаружения вторжений и Профилактика движок, который использует наборы правил внешней разработки для контролировать сетевой трафик, а также умеет обрабатывать несколько гигабайт трафика и отправляет оповещения по электронной почте Система/Сеть администраторы.
Суриката обеспечивает скорость и важность при определении сетевого трафика. Движок разработан для использования повышенной вычислительной мощности, обеспечиваемой современными многоядерными наборами микросхем аппаратного обеспечения.
Движок не только предоставляет ключевые слова для TCP, UDP, ICMP и IP, но также имеет встроенную поддержку HTTP, FTP, TLS и SMB. Системный администратор может создать собственное правило для обнаружения совпадения в HTTP ручей. Это станет другим Обнаружение вредоносного ПО и контроль.
Двигатель, безусловно, примет правила, которые IP матчи на основе RBN и скомпрометированы IP списки на Возникающие угрозы и храните их в конкретном препроцессоре быстрого сопоставления.
Читайте также: Установите LMD - Linux Malware Detect in Linux
Вы должны использовать Репозиторий Fedora EPEL установить необходимые пакеты для i386 и x86_64 системы.
Прежде чем вы сможете скомпилировать и собрать Суриката для вашей системы установите следующие пакеты зависимостей, которые потребуются для дальнейшей установки. Процесс может занять некоторое время, в зависимости от скорости интернета.
# yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c ++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel волшебный файл magic-devel file-devel
Далее строим Суриката с IPS служба поддержки. Для этого нам понадобится «libnfnetlink" и "libnetfilter_queue”, Но эти предварительно созданные пакеты недоступны в EPEL или CentOS Базовые репозитории. Итак, нам нужно скачать и установить об / мин из Новые угрозы CentOS репозиторий.
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
# rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
Скачать последнюю версию Суриката исходные файлы и соберите его с помощью следующих команд.
# cd / tmp. # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz. # tar -xvzf suricata-1.4.4.tar.gz. # cd suricata-1.4.4
Теперь мы используем Автоматическая настройка Suricata возможность автоматического создания всего необходимого каталоги, файлы конфигурации и последний наборы правил.
# ./configure && make && make install-conf. # ./configure && make && make install-rules. # ./configure && make && make install-full
Перед началом установки в системе должны быть установлены следующие предварительные пакеты, чтобы продолжить. Убедитесь, что вы должны быть корень пользователю выполнить следующую команду. Этот процесс установки может занять некоторое время в зависимости от текущей скорости вашего Интернета.
# apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ волшебный файл pkg-config libhtp-dev
По умолчанию работает как IDS. Если вы хотите добавить IDS support, установите некоторые необходимые пакеты следующим образом.
# apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Скачать последнюю версию Суриката tar-ball и создайте его, используя следующие команды.
# cd / tmp. # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz. # tar -xvzf suricata-1.4.4.tar.gz. # cd suricata-1.4.4
Использовать Автоматическая настройка Suricata возможность создать все необходимое каталоги, файлы конфигурации и наборы правил автоматически, как показано ниже.
# ./configure && make && make install-conf. # ./configure && make && make install-rules. # ./configure && make && make install-full
После скачивания и установки Суриката, теперь пора перейти к Базовая настройка. Создайте следующие дирекции.
# mkdir / var / log / suricata. # mkdir / etc / suricata
Следующая часть - скопировать файлы конфигурации, такие как «classification.config“, “reference.config" и "suricata.yaml»Из каталога установки базовой сборки.
# cd /tmp/suricata-1.4.4. # cp classification.config / etc / suricata. # cp reference.config / etc / suricata. # cp suricata.yaml / etc / suricata
Наконец, запустите "Suricata Engine»И укажите желаемое имя интерфейсного устройства. Вместо eth0, вы можете включить сетевую карту по своему усмотрению.
# suricata -c /etc/suricata/suricata.yaml -i eth0 23/7/2013 - 12:22:45 - - Это ВЫПУСК Suricata версии 1.4.4. 23.07.2013 - 12:22:45 - - ЦП / ядер онлайн: 2. 23/7/2013 - 12:22:45 - - Обнаружено MTU 1500 для 'eth0' 23.07.2013 - 12:22:45 - - для хэша дефрагментации выделено 2097152 байта памяти... 65536 ведер типоразмера 32. 23.07.2013 - 12:22:45 - - предварительно выделено 65535 трекеров дефрагментации 104 размера. 23.07.2013 - 12:22:45 - - использование памяти дефрагментацией: 8912792 байта, максимум: 33554432. 23/7/2013 - 12:22:45 - - Режим AutoFP с использованием балансировщика нагрузки потока по умолчанию «Активные пакеты». 23.07.2013 - 12:22:45 - - предварительно выделено 1024 пакета. Всего памяти 3170304. 23.07.2013 - 12:22:45 - - под хэш хоста выделено 131072 байта памяти... 4096 ведер типоразмера 32. 23/7/2013 - 12:22:45 - - предварительно выделено 1000 хостов размером 76. 23.07.2013 - 12:22:45 - - использование памяти хоста: 207072 байта, максимум: 16777216. 23.07.2013 - 12:22:45 - - для хэша потока выделено 2097152 байта памяти... 65536 ведер типоразмера 32. 23.07.2013 - 12:22:45 - - предварительно выделено 10000 потоков размером 176. 23.07.2013 - 12:22:45 - - использование потоковой памяти: 3857152 байта, максимум: 33554432. 23.07.2013 - 12:22:45 - - Репутация IP отключена. 23.07.2013 - 12:22:45 - - с помощью magic-file / usr / share / file / magic
Через несколько минут проверьте, правильно ли работает двигатель, принимает и проверяет трафик.
# cd / usr / local / var / log / suricata / # ls -l -rw-r - r-- 1 root root 25331 23 июля, 12:27 fast.log. drwxr-xr-x 2 root root 4096 23 июля, 11:34 files. -rw-r - r-- 1 root root 12345 23 июля, 11:37 http.log. -rw-r - r-- 1 root root 650978 23 июля, 12:27 stats.log. -rw-r - r-- 1 root root 22853 23 июля, 11:53 unified2.alert.1374557837. -rw-r - r-- 1 root root 2691 23 июля, 12:09 unified2.alert.1374559711. -rw-r - r-- 1 root root 2143 23 июля, 12:13 unified2.alert.1374559939. -rw-r - r-- 1 root root 6262 23 июля 12:27 unified2.alert.1374560613
Смотреть "stats.log»И убедитесь, что отображаемая информация обновленный в реальное время.
# tail -f stats.log tcp.reassembly_memuse | Обнаружить | 0. tcp.reassembly_gap | Обнаружить | 0. detect.alert | Обнаружить | 27. flow_mgr.closed_pruned | FlowManagerThread | 3. flow_mgr.new_pruned | FlowManagerThread | 277. flow_mgr.est_pruned | FlowManagerThread | 0. flow.memuse | FlowManagerThread | 3870000. flow.spare | FlowManagerThread | 10000. flow.emerg_mode_entered | FlowManagerThread | 0. flow.emerg_mode_over | FlowManagerThread | 0
Домашняя страница Suricata
Руководство пользователя Suricata