Сурицата систем за откривање уљеза

Сурицата је заснована на Снорт ИДС систему, који је такође а систем за откривање упада, Снорт, видели смо то у другим водичима, као што су:
  • Алати за спречавање и безбедност хакера
  • Јачање безбедности сервера и оперативних система

Мееркат који је способан за вишеструку анализу, изворно декодирање мрежних токова и састављање датотека мрежних токова током извођења анализе.

Овај алат је врло скалабилан, што значи да може покренути неколико инстанци и избалансирати оптерећење ако имамо неколико процесора, омогућавајући кориштење пуног потенцијала тима. Ово нам омогућава да немамо проблема са потрошњом ресурса док водимо анализу.
Најчешћи протоколи аутоматски препознају Мееркат, тако много хттп, хттпс, фтп, смтп, поп3 и други, омогућавајући нам тако да конфигуришемо правила за дозволе и филтрирање долазног и одлазног саобраћаја, такође контролишемо порт преко којег се приступа сваком протоколу.
Још једна услуга коју пружа је идентификација Архива, Контролне суме МД5 и контрола компримованих датотека. Сурицата може идентификовати које врсте датотека се преносе или којима се приступа на мрежи. Ако желимо да приступимо датотеци, овај задатак ће натерати Сурицата да створи датотеку на диску са форматом метаподатака која описује ситуацију и обављени задатак. Контролни збир МД5 користи се за утврђивање да датотека метаподатака која чува информације о извршеним задацима није измењена.

Инсталирајте Сурицата у наш оперативни систем


Сурицата се може користити на било којој Линук платформи, Мац -у, ФрееБСД -у, УНИКС -у и Виндовс -у, можемо је преузети са њене службене веб странице или ако имамо Линук за инсталацију из спремишта.

У овај водич ћемо инсталирати Сурицату на Линук Минт. Да бисмо инсталирали Сурицату, отворили смо терминални прозор и откуцали следеће команде:
 судо адд-апт ппа-репоситори: оисф / мееркат стабилно судо ажурирање апт-гет судо апт-гет инсталирај мееркат
Са овим би се инсталирао.

Подесите Сурицата на серверу


Из Линука ћемо морати приступити терминалу у администраторском режиму, почећемо са стварањем фасцикле у којој ће се складиштити подаци које ће Сурицата прикупљати и регистровати.
 судо мкдир / вар / лог / мееркат
Такође морамо да проверимо да ли је систем у фасцикли етц, у супротном га креирамо:
 судо мкдир / етц / мееркат
Већ ћемо имати инсталирану Сурицату и Систем за откривање упада и анализатор мрежног саобраћаја. У овој фази нема дефинисаних правила за филтрирање, па морамо креирати правила или их користити. Емергинг Тхреатс, складиште правила и познатих претњи за Снорт и Сурицата, нешто попут антивирусне базе података, али за упаде, коришћење правила Емергинг Тхреатс је бесплатно и бесплатно.
Затим можемо преузети датотеке правила са терминала помоћу следећих команди:
 вгет хттп://рулес.емергингтхреатс.нет/опен/сурицата/емергинг.рулес.тар.гз
Затим морамо распаковати датотеку и копирати је у фасциклу / етц / сурицата
 тар зквф емергинг.рулес.тар.гз цп -р правила / етц / сурицата /
Затим ћемо морати да конфигуришемо Сурицата мотор за рашчлањивање, са подразумеваном конфигурацијом користиће мрежне интерфејсе етх0 са правилима која садржи и дефинишемо у датотеци сигнатуре.рулесЗа конфигурисање нових правила морамо користити следећу команду:
 мееркат -ц мееркат.иамл -с потписа.рулес -и етх0
Правила ће бити конфигурисана.

Доступни мрежни интерфејси


Да бисмо проверили везе или доступне мрежне интерфејсе, из прозора терминала пишемо следећу команду:
 Ифцонфиг 

Сада можете видети који желимо да проверимо знајући ИП сваког од њих и његово име. Да бисмо покренули мотор и доделили мрежни интерфејс, на пример Ви-Фи мрежу, пишемо следећу команду:
 судо сурицата -ц /етц/сурицата/сурицата.иамл -и влан0
Ако желимо да контролишемо жичану мрежу, користићемо етх0. Да бисмо видели да ли мотор ради исправно и да ли заиста врши провере на мрежи, морамо да користимо следећу команду:
 цд / вар / лог / сурицата таил хттп.лог
Ово ће нам показати листу са датумом, временом и вебом или ИП -ом којима је приступљено и преко ког порта. Ако погледамо датотеке статистичког дневника, можемо посматрати ток саобраћаја и откривена упозорења, морамо разликовати странице које прегледавамо од оних које се преусмеравају путем оглашавања.

 таил -ф статс.лог
Такође можемо преузети датотеке дневника и отворити их уређивачем текста или сопственим софтвером ради побољшања читања.
Пример је Јсон датотека која се назива евен.јсон

Овде можемо видети портове који се користе и ип можемо видети да ип 31.13.85.8 одговара Фацебооку, такође откривамо приступ ц.ливе.цом, који би био Оутлоок маил веб.

Погледајмо још један дневник где откривамо приступ Гоогле Цхроме -а веб локацији Солветиц.цом.

Да не бисмо контролисали сав промет, следећом командом можемо одредити монитор групе или одређеног корисника.
 судо сурицата -ц /етц/сурицата/сурицата.иамл -Д -и етх0 --усер = јосе01 --гроуп = рачуноводство
Морамо имати на уму да ће извршавање скупова правила, чак и скромне величине, за надгледање тока ХТТП саобраћаја користећи комплетна спремишта претњи и за његов скуп правила бити потребна приближно еквивалентна потрошња ЦПУ и РАМ ресурса. При промету од 50 Мб у секунди, иако то не утиче много на сервер.

Правила игнорисања саобраћаја


У неким случајевима постоје разлози да се занемари одређени промет који нисмо заинтересирани за праћење. Можда поуздани домаћин или мрежа или веб локација.
Видећемо неке стратегије за игнорисање саобраћаја уз мееркат. Кроз филтере за снимање можете Сурицати рећи шта да прати, а шта не. На пример, једноставан филтер протокола тцп провераваће само ТЦП пакете.
Ако треба занемарити неке рачунаре или мреже, не бисмо требали користити ИП1 или ип / 24 да бисмо игнорисали све рачунаре на мрежи.

Одобрите пакет и његов промет


Да прође правила са мееркатом и утврдити да пакет није филтриран, на пример са одређене ИП адресе и ТЦП протокола, онда ћемо користити следећу команду у датотекама правила постављеним у фасцикли / етц / сурицата / рулес
 Пренесите 192.168.0.1 било који било који (мсг: "Прихвати сав саобраћај са овог ип -а";)
Да бисмо видели које смо модуле активирали за Сурицату, отворићемо прозор терминала, а затим откуцати следећу команду:
 мееркат --буилд-инфо
Видели смо како Мееркат са својим ИДС услуга На основу правила за контролу мрежног саобраћаја и давање упозорења администратору система када се појаве сумњиви догађаји, веома је корисно тако да нам, у пратњи других безбедносних система мреже, омогућава да заштитимо своје податке од неправилног приступа.
Сурицата има могућности функционалности и библиотеке које се могу додати путем додатака за укључивање као монитор или АПИ у друге апликације.
Нешто важно је знати које су услуге активне и шта морамо надзирати како не бисмо имали дугачке извештаје о услугама или портовима који не раде.
На пример, ако су сервери само на вебу и потребан им је само порт 80 за ХТТП, нема разлога за надгледање СМТП услуге која служи за слање поште.Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave