सुरिकाता आईपीएस के रूप में

प्रस्तावना

यह देखकर दुख होता है कि हब्रे पर घुसपैठ रोकने या रोकने के बारे में लेख इतने अलोकप्रिय हैं।
युवा लड़ाकू पाठ्यक्रम: हम एक राउटर द्वारा संरक्षित हैं। निरंतरता: IPS - 5 प्लसस।
एक सेवा IPS - 25 प्लस के रूप में SNORT ।
OSSEC: बिग ब्रदर आपको देख रहा है - 13 प्लस।
हालांकि, पैठ के परिणामों के विश्लेषण पर लेख बहुत लोकप्रिय हैं। मैं सूचना सुरक्षा के एक और लोकप्रियकरण को फेंकने की कोशिश करूँगा।

सुरिक्त का वर्णन

घुसपैठ निवारण प्रणाली - एक सॉफ्टवेयर या हार्डवेयर नेटवर्क और कंप्यूटर सुरक्षा प्रणाली जो घुसपैठ या सुरक्षा उल्लंघनों का पता लगाती है और स्वचालित रूप से उनकी रक्षा करती है।
IPS सिस्टम को घुसपैठ डिटेक्शन सिस्टम (IDS) के विस्तार के रूप में देखा जा सकता है, क्योंकि ट्रैकिंग हमलों का कार्य समान रहता है। हालांकि, वे इस बात से अलग हैं कि आईपीएस को वास्तविक समय में गतिविधि पर नजर रखनी चाहिए और हमलों को रोकने के लिए जल्दी से कार्रवाई करनी चाहिए। संभावित उपाय नेटवर्क में ट्रैफ़िक प्रवाह को रोक रहे हैं, कनेक्शन रीसेट कर रहे हैं, ऑपरेटर को सिग्नल जारी कर रहे हैं। IPS, बदले हुए SEQ और ACK नंबरों वाले पैकेट से बचाव के लिए TCP पैकेटों को डीफ़्रैग्मेन्ट कर सकते हैं।
विकि

Suricata - खुला स्रोत IPS / IDS प्रणाली। डेवलपर्स द्वारा स्थापित, जो स्नॉर्ट के आईपीएस संस्करण पर काम करता था। Suricata और Snort के बीच मुख्य अंतर IDS मोड में GPU का उपयोग करने की क्षमता है, एक अधिक उन्नत IPS सिस्टम, मल्टीटास्किंग, उच्च प्रदर्शन के परिणामस्वरूप जो आपको पारंपरिक उपकरणों पर 10Gbit तक ट्रैफ़िक को संभालने की अनुमति देता है, और बहुत कुछ, Snort नियम प्रारूप के लिए पूर्ण समर्थन सहित। आधिकारिक वेबसाइट पर हर चीज के बारे में पढ़ना बेहतर है। आइए आज बात करते हैं IPS के बारे में।

सुरिकटा दो IPS मोड का उपयोग करता है: NFQ और AF_PACKET

NFQ IPS मोड निम्नानुसार काम करता है:
1) पैकेज iptables में मिलता है
2) iptables नियम इसे NFQUEUE कतार में निर्देशित करता है, उदाहरण के लिए iptables -I INPUT -p tcp -j NFQUEUE
3) NFQUEUE कतार से, पैकेट को उपयोगकर्ता स्तर पर संसाधित किया जा सकता है, जो कि Suricata करता है
4) सुरिकता कॉन्फ़िगर नियमों (नियमों) के अनुसार पैकेट चलाता है और उनके आधार पर यह तीन में से एक फैसला कर सकता है: NF_ACCEPT , NF_DROP और सबसे दिलचस्प - NF_REPEAT ।
5) NF_REPEAT में आने वाले पैकेट को सिस्टम में चिह्नित किया जा सकता है और वर्तमान iptables तालिका की शुरुआत में वापस भेजा जा सकता है, जो iptables नियमों का उपयोग करके पैकेटों के भाग्य को प्रभावित करने की बहुत संभावना देता है।

संस्करण 1.4 के साथ शुरू, Suricata शून्य प्रतिलिपि AF_PACKET सिस्टम मोड का उपयोग करके एक IPS के रूप में काम कर सकता है , लेकिन कुछ सीमाओं के साथ। सिस्टम को दो नेटवर्क इंटरफेस के साथ गेटवे के रूप में काम करना चाहिए। यदि कोई पैकेट DROP नियम के अंतर्गत आता है, तो इसे बस दूसरे इंटरफ़ेस के लिए अग्रेषित नहीं किया जाता है। शून्य कॉपी के फायदे प्रसंस्करण पैकेट की गति है, जो निस्संदेह उन प्रदाताओं से अपील करेंगे जो निष्क्रियता के मामले में, रोसकोम्नाडज़ोर से जुर्माना के जोखिम को चलाते हैं।

उबंटू पर सुरिकता को स्थापित करना आधिकारिक विकी पर वर्णित है

चलो एक WEB सर्वर पर NFQ के साथ एक उदाहरण पर विचार करें

प्रारंभिक iptables नियम कॉन्फ़िगर करें:

#    ,    80-   <b></b>    0x1/0x1     iptables -t mangle -I PREROUTING -p tcp -m tcp --dport 80 -m mark ! --mark 0x1/0x1 -j NFQUEUE --queue-num 0 

हम मेंगल का उपयोग करते हैं, क्योंकि यह तालिका पैकेज पथ में पहली में से एक है।
विकल्प --queue-bypass 2.6.38 कर्नेल में दिखाई दिया और आपको कतार में सभी पैकेट को छोड़ने की अनुमति देता है जब कोई सुनने वाला अनुप्रयोग NFQUEUE नहीं होता है। यानी यदि सुरीकाटा नहीं चल रहा है, तो नियमों के तहत आने वाले सभी पैकेज ऐसे चलेंगे जैसे कि कुछ भी नहीं हुआ था।
विकल्प --queue-num कतार संख्या सेट करता है।
-म निशान! --मार्क 0x1 / 0x1 उन सभी पैकेटों को नजरअंदाज कर देता है जो पहले से ही सुरिचा द्वारा संसाधित किए जा चुके हैं

IPS मोड में सुरिकटा कॉन्फ़िगर करें (मानक कॉन्फ़िगरेशन के सापेक्ष जो पैकेज के साथ आता है):

 nfq: mode: repeat #      repeat-mark: 1 repeat-mask: 1 ... ... ... default-rule-path: /etc/suricata rule-files: - test.rules #     

सुरिकता नियम जो एक पैकेज में परीक्षण पाठ का जवाब देता है (/etc/suricata/test.rules):

 pass tcp any any -> any any (content: "TEST"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;) 

सिड अद्वितीय होना चाहिए

सुरिकाता सेटिंग और नियम के साथ, "खराब" पैकेट का अंकन और मुखौटा होगा: 0x02 / 0xfe (0xff XOR 0x01 = 0xfe)

लॉन्च सुरिकाटा:

 suricata -q 0 -c /etc/suricata/suricata.yaml 

आगे के पैकेट iptables नियमों द्वारा पार्सिंग:

 #  ,     iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 80 -m mark --mark 0x2/0xfe -j LOG --log-prefix "TEST packet detected" 

दूरस्थ क्लाइंट पर निष्पादन के बाद:

 curl http://221.141.200.189/TEST 

फॉर्म की एक प्रविष्टि / var / log / syslog में दिखाई देगी:

 Sep 9 14:23:06 server kernel: [ 2897.581561] TEST packet detectedIN=eth0 OUT= MAC=c5:d5:08:8f:2d:be:ce:df:3e:af:8c:06:08:00 SRC=97.17.34.191 DST=221.141.200.189 LEN=133 TOS=0x00 PREC=0x00 TTL=64 ID=57685 DF PROTO=TCP SPT=33949 DPT=80 WINDOW=115 RES=0x00 ACK PSH URGP=0 MARK=0x3 

यह मत भूलो कि सुरिकटा केवल पैकेज को लेबल करता है। एक पूरे के रूप में पूरे कनेक्शन पर काम करने के लिए एक नियम के लिए, इसे चिह्नित करना आवश्यक है:

 #       iptables -t mangle -A PREROUTING -m mark --mark 0x2/0xfe -j CONNMARK --save-mark #  ,     iptables -t mangle -A PREROUTING -m connmark --mark 0x2/0xfe -j LOG --log-prefix "TEST connection detected" #  ,        iptables -t mangle -A PREROUTING -m connmark --mark 0x2/0xfe -j CONNMARK --restore-mark 

यदि आप RAW DNAT / SNAT जैसे iptables के एक अद्भुत जोड़ पर ध्यान देते हैं, तो Suricata का उपयोग करके आप विभिन्न प्रकार के ट्रैफ़िक को विभिन्न गंतव्य पतों पर भेज सकते हैं। यहां, कनेक्शन अखंडता के नुकसान की तरह कई बारीकियां भी हैं, लेकिन प्रॉक्सी सॉफ्टवेयर का उपयोग करके इसे आसानी से हल किया जा सकता है जो मक्खी पर कनेक्शन बहाल कर सकता है।

इसके अलावा, Suricata मक्खी पर संकुल को संशोधित कर सकता है। उदाहरण के लिए:

 pass tcp any any -> any any (content: "TEST"; replace:"SETS"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;) 

यह SETS के साथ पैकेज में TEST पाठ को प्रतिस्थापित करता है, लेकिन एक शर्त पर - प्रतिस्थापन डेटा मूल के समान आकार का होना चाहिए। इस मामले में, कमांड:

 curl -v http://221.141.200.189/TEST 

वेब सर्वर लॉग में सहेजें:

 97.17.34.191 - - [09/Sep/2013:14:51:04 +0400] "GET /SETS HTTP/1.1" 200 151 "-" "curl/7.26.0" 

आइए गेटवे पर AF_PACKET के साथ एक उदाहरण पर विचार करें

यहां सब कुछ सरल है। Suricata.yaml कॉन्फ़िगरेशन कुछ इस तरह दिखना चाहिए:

 af-packet: - interface: eth0 threads: 1 defrag: yes cluster-type: cluster_flow cluster-id: 98 copy-mode: ips copy-iface: eth1 buffer-size: 64535 use-mmap: yes - interface: eth1 threads: 1 cluster-id: 97 defrag: yes cluster-type: cluster_flow copy-mode: ips copy-iface: eth0 buffer-size: 64535 use-mmap: yes 

प्रोसेसर थ्रेड्स की संख्या 3.6 से अधिक गुठली के लिए एक से अधिक नहीं होनी चाहिए, अन्यथा थ्रेड्स की संख्या में वृद्धि एक अनंत लूप का कारण होगी।
दोनों नेटवर्क इंटरफेस पर MTU समान होना चाहिए।

लॉन्च सुरिकाटा:

 suricata -c /etc/suricata/suricata.yaml --af-packet 

निष्कर्ष

सुरीकाटा एक लचीला पैकेट प्रसंस्करण उपकरण है जो आपको पैकेज की सामग्री के आधार पर मार्गों को बदलने, हमलों का पता लगाने और खराब पैकेटों को सिस्टम में लाने से रोकता है (उदाहरण के लिए, डीआरओपी या पैकेटों की जगह जब तक वे वेब सर्वर तक नहीं पहुंचते)। शायद अभी, सरकारी प्रदाता डीपीआई के रूप में सुरिकाटा का उपयोग कर रहे हैं।

लेख लिखने के लिए, हमने सुरिकता के डेवलपर्स और आधिकारिक विकी के ब्लॉग से जानकारी का उपयोग किया।