Детектор атак Suricata

Модуль «Детектор атак Suricata» предназначен для запуска, настройки и конфигурирования используемой в ИКС open source IPS/IDS-системы Suricata. Данная система была разработана Open Information Security Foundation в 2009 году. Suricata поддерживает многозадачность и, как следствие, отличается высокой производительностью, которая позволяет обрабатывать трафик до 10 Гбит на обычном оборудовании и многое другое, в том числе обладает полной поддержкой формата правил Snort.

Для открытия модуля перейдите в меню Защита > Детектор атак Suricata.

В модуле расположены следующие вкладки:

Детектор атак Suricata

На данной вкладке отображается состояние службы «Детектор атак Suricata»:

  • статус службы (запущеностановленвыключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Настройки

Данная вкладка предназначена для настройки работы Детектора атак Suricata.

Для корректного применения базы сигнатур модуля укажите расположение объектов (сетейсерверов и портов), подверженных проверке.

Здесь можно указать внутренние и внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься.

По умолчанию анализируется трафик на внешних интерфейсах. Для анализа трафика локальной сети в поле «Внешние сети» добавьте значение «Локальные сети».

Конфигурации по умолчанию можно изменить, выбрав в списках нужные значения либо указав их вручную.

Для ячеек в блоках «сети» и «сервера» допустимыми являются следующие значения: доменное имя (host.ru); IP-адрес (192.168.1.1); IP-адрес/префикс (192.168.1.1/24); IP-адрес:маска (192.168.1.1:255.255.255.0); диапазон IP-адресов (192.168.1.1 - 192.168.1.254); пользователь; группа; локальная, внутренняя сеть, VPN, OpenVPN, Wi-Fi-сети; другие объекты, которыми оперирует ИКС.

Для ячеек в блоке «порты» допустимыми являются следующие значения: номер порта (25, 110); диапазон портов (1000-2000); порты, заведенные на ИКС. Для ячейки «SHELLCODE-порты» также допустимо исключение портов (например, !80).

На данной вкладке также можно выбрать режим работы Детектора атак: IDS/IPS, IPS, IDS.

  • Для работы детектора атак в режиме IPS используется фреймворк Netmap. Он позволяет работать с сетевыми картами в двух режимах:
    • Режим эмулирования.
    • Нативный режим.

    Нативный режим является предпочтительным и возможен при условии поддержки его сетевыми адаптерами. Данный режим позволяет обрабатывать трафик с минимальными потерями в скорости. Он включается автоматически, если в поле «Интерфейсы» в настройках детектора атак указаны исключительно адаптеры из следующего списка: cxgbe, em, igb, lem, ixgbe, ixl, re, vtnet.

    Если в поле «Интерфейсы» указан хотя бы один интерфейс не из этого списка, Netmap будет работать в режиме эмулирования, основным недостатком которого является потеря скорости обработки пакетов и вероятное значительное уменьшение скорости интернет-канала.

  • При использовании режима IDS Детектор атак также может обрабатывать трафик с высокой скоростью на сетевых картах, которые не поддерживают нативный режим Netmap. Однако при использовании данного режима отсутствует возможность блокировки трафика Детектором атак.

Чтобы изменения вступили в силу, нажмите «Сохранить».

Внимание! Suricata работает с PPPoE-провайдерами только в режиме IDS.

Правила

На данной вкладке отображаются возможные базы модуля Детектора атак Suricata.

Существует три базы правил:

  • правила с сайта snort.org;
  • предкомпилированные правила с сайта snort.org;
  • правила Emerging Threats.

Каждая база содержит набор скачиваемых файлов. В каждом файле находится набор правил, объединенных по цели защиты.

Для работы набора правил из базы необходимо, чтобы данная база была скачена. Если база не скачена, то напротив каждого файла отобразится надпись: «не загружено». Если база была загружена, можно выбрать применение всей базы целиком, установив флаг в столбце «Применить». Если необходимо применить определенный файл или, наоборот, не применять его, установите флаг в столбце «Применить» соответствующего файла.

Напротив каждого файла показано, какое количество правил в нем содержится. В правом верхнем углу вкладки расположен поиск по названию файла или по ID правила в файле.

Для просмотра правил и выбора действия нажмите на имя файла — откроется новое диалоговое окно с таблицей. В таблице расположены следующие поля:

  • ID правила — номер правила;
  • приоритет — значение угрозы;
  • предупреждение — описание производимой атаки;
  • классификация — класс атаки;
  • действие — определяет, что необходимо сделать при обнаружении данной атаки (alert — записать в собственный лог обнаружение и пропустить, drop — уничтожить пакет, allow — пропустить, reject — уничтожить пакет и уведомить отправителя о данном событии);
  • включение/выключение соответствующего правила.

Каждый столбец в таблице можно отсортировать по содержимому.

Поиск работает по всем столбцам. К результатам поиска возможно применение группового действия. Также групповое действие возможно применить к правилам, выделенным при помощи горячих клавиш <Ctrl+левая кнопка мыши>.

Настройки обновлений

Данная вкладка предназначена для настройки процесса обновления правил модуля. Активно занимаются разработкой правил для систем предотвращения вторжений две компании — Sourcefire и Emerging Threats.

Чтобы скачать базы «Правила с snort.org», выполните следующие действия:

  1. Зарегистрируйтесь на сайте snort.org. При необходимости оформите платную подписку.
  2. В личном кабинете сайта получите Oinkcode для скачивания правил.
  3. В ИКС ведите код в поле «Oinkcode».
  4. Установите флаг «Подписчик на обновления правил с snort.org» в том случае, если вы оформили платную подписку на обновления правил с snort.org в Шаге 1.
  5. Нажмите «Сохранить».

Правила можно скачать при наличии кода.

Внимание! Права подписчика отличаются от обычного зарегистрированного пользователя.

После удачного скачивания правил от данного разработчика они будут отображаться на вкладке «Правила» без надписи: «не загружено».

Чтобы скачать базы «Правила Emerging Threats» и (или) «Правила Positive Technologies Open Ruleset (Attack Detection)», просто установите соответствующие флаги и нажмите «Сохранить».

На вкладке также можно задать проверку наличия обновлений для правил, которые были загружены, и указать время для данной операции. Если флаг «Проверять наличие обновлений правил» установлен, то в заданное время ИКС будет проверять наличие доступных обновлений. При наличии новых правил ИКС их скачает.

Для того чтобы проверить наличие обновлений и скачать их не в заданное время, нажмите кнопку «Проверить наличие обновлений правил».

Чтобы изменения вступили в силу, нажмите «Сохранить».

Журнал

На данной вкладке отображаются сообщения при обнаружении трафика, подходящего под какое-либо активное правило Детектора атак Suricata.

Управление записями журнал является стандартным.

О статье

Идентификатор статьи:
74
Категория:
Рейтинг :

Меню

Связанные статьи