Suricata 1.4.4 תשר תרידח לש החטבאו העינמ ,יוליג תכרעמ - ררחוש

Suricata סקוניל/סקינוי תוססובמ תוכרעמ רובע םיהובג םיעוציב םע תינרדומ תשר תחטבאו העינמ ,הרידח רוטינ תכרעמו חותפ דוק איה, FreeBSD ו- Windows. ןרק תולעבבו החתופ איה OISF (חותפ עדימ תחטבאל ן

.תמדוקה הרודהמל סחיב םיינויח םיגאב המכ ןקיתו םיעירכמ ךא םילק םינוכדע םע Suricata 1.4.4 לש ורורחש לע עידוה OISF לש טקיורפה תווצ ,הנורחאל

Suricata תונוכת

Suricata תשרה/תכרעמה ילהנמל ל"אוד תוארתה תקפסמו הבורמ הגי'ג תרובעת םע דדומתהל תולגוסמ ןכו ,תשרה תרובעת לע חקפל ידכ תינוציח וחתופש םיללכ תוכרעמב םישמתשמה םיללכ לע ססובמה הצירפ תעינמו רותי

Suricata תוביל תובורמ תוינרדומ הרמוח יבבש תוכרע םיעיצמש רבגומה דוביעה חוכ תא םשייל ידכב חתופ עונמה .תשרה תרובעת תעיבקב תובישחו תוריהמ תקפסמ.

.תונוש תוינודז תונכותב הטילשו יוליגל ךופהי הז .HTTP םרז ךותב המאתה תוהזל ידכ ולשמ ללכ רוציל לוכי תכרעמ להנמ .SMB -ו HTTP, FTP, TLS -ב תינבומ הכימת ול שי אלא ,IP -ו TCP, UDP, ICMP רובע חתפמ

.הריהמ המאתהב יפיצפס םידקמ דבעמ לע םהילע רומשיו םיררועתמ םימויאב ועגפנש IP -ה תומישרו RBN -ה לע תוססובמה IP תומאתה םהש םיללכ חקי יאדווב עונמה

הרודפו RHEL, CentOS -ב Suricata תנקתה 1 :בלש

.x86_64 -ו i386 תוכרעמל תושורד תוליבח המכ ןיקתהל ידכ הרודפ לש EPEL -ה רגאמב שמתשהל ךילע

    .טנרטניאה תוריהמב יולת ,המ ןמז ךשמיהל יושע ךילהתה .תפסונ הנקתהל תושרדנה תואבה תולתה תוליבח תא ןקתה ,ךלש תכרעמה רובע Suricata תונבלו לפמקל לכותש ינפל

    # yum -y install libpcap libpcap-devel libnet libnet-devel pcre \
pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \
libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel

    .םיררועתמ םימויא לש CentOS רגאממ rpms ןיקתהלו דירוהל ונילע ,ןכל .CentOS Base וא EPEL ירגאמב תונימז ןניא שארמ ונבנש הלא תוליבח ךא ,"libnetfilter_queue" -ו "libnfnetlink" תוליבחל םיקוקז ונא

    # rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ 
http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm
    # rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ 
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm

    .תואבה תודוקפה תועצמאב םתוא הנבו Suricata לש םינורחאה רוקמה יצבק תא דרוה

    # cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4

    .רתויב תוינכדעה םיללכה תוכרעמו הרוצתה יצבק ,תושורדה תוירפסה לכ תא יטמוטוא ןפואב רוציל ידכ Suricata לש תיטמוטואה הנקתהה תנוכתב םישמתשמ ונא תעכ

    # ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full

    Ubuntu -בו Debian -ב Suricata תנקתה :2 בלש

    .ךלש טנרטניאה לש תיחכונה תוריהמב יולת ,המ ןמז ךשמיהל יושע הז הנקתה ךילהת .האבה הדוקפה תא ליעפהל ידכ סיסב שמתשמ תויהל בייח התאש אדו .האלה ךישמהל ידכ תואבה תומדקומה תושירדה תוליבח תא תכרעמב

    # apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \
pkg-config magic file libhtp-dev

    .ןמקלדכ תוצוחנ תוליבח המכ ןקתה ,IDS -ב הכימת ףיסוהל ךנוצרב םא .IDS -כ דבוע ,לדחמ תרירבכ

    # apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0

    .תואבה תודוקפה תועצמאב ותוא הנבו Suricata לש רתויב ינכדעה תפזה רודכ תא דרוה

    # cd /tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz
# tar -xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4

    .ןלהל גצומש יפכ יטמוטוא ןפואב םיללכה תוכרעו הרוצתה יצבק ,תושורדה תוירפסה לכ תא רוציל ידכ Suricata לש תיטמוטואה הנקתהה תורשפאב שמתשה

    # ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full

    Suricata Basic Setup :3 בלש

    .םיאבה םירוטקריד רוצ .תיסיסב הנקתהל ךישמהל ןמזה עיגה ,Suricata לש הנקתההו הדרוהה רחאל

    # mkdir /var/log/suricata
# mkdir /etc/suricata

    .תונבל תיסיסבה הנקתהה תיירפס ךותמ "suricata.yaml" ו "klassificering.config", "reference.config" ןוגכ הרוצת יצבק תקתעה אוה אבה קלחה

    # cd /tmp/suricata-1.4.4
# cp classification.config /etc/suricata
# cp reference.config /etc/suricata
# cp suricata.yaml /etc/suricata

    .ףידעמ התאש תשרה סיטרכ תא לולכל לוכי התא ,eth0 םוקמב .ךתפדעהל קשממה ןקתה םש תא ןייצו הנושארה םעפב "Suricata עונמ" תא לעפה ,ףוסבל

    # suricata -c /etc/suricata/suricata.yaml -i eth0

23/7/2013 -- 12:22:45 -  - This is Suricata version 1.4.4 RELEASE
23/7/2013 -- 12:22:45 -  - CPUs/cores online: 2
23/7/2013 -- 12:22:45 -  - Found an MTU of 1500 for 'eth0'
23/7/2013 -- 12:22:45 -  - allocated 2097152 bytes of memory for the defrag hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 65535 defrag trackers of size 104
23/7/2013 -- 12:22:45 -  - defrag memory usage: 8912792 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 -  - AutoFP mode using default "Active Packets" flow load balancer
23/7/2013 -- 12:22:45 -  - preallocated 1024 packets. Total memory 3170304
23/7/2013 -- 12:22:45 -  - allocated 131072 bytes of memory for the host hash... 4096 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 1000 hosts of size 76
23/7/2013 -- 12:22:45 -  - host memory usage: 207072 bytes, maximum: 16777216
23/7/2013 -- 12:22:45 -  - allocated 2097152 bytes of memory for the flow hash... 65536 buckets of size 32
23/7/2013 -- 12:22:45 -  - preallocated 10000 flows of size 176
23/7/2013 -- 12:22:45 -  - flow memory usage: 3857152 bytes, maximum: 33554432
23/7/2013 -- 12:22:45 -  - IP reputation disabled
23/7/2013 -- 12:22:45 -  - using magic-file /usr/share/file/magic

    .העונת קדובו לבקמו ןיקת עונמהש קודב ,ןכמ רחאל תוקד רפסמ רחאל

    # cd /usr/local/var/log/suricata/
# ls -l

-rw-r--r-- 1 root root  25331 Jul 23 12:27 fast.log
drwxr-xr-x 2 root root   4096 Jul 23 11:34 files
-rw-r--r-- 1 root root  12345 Jul 23 11:37 http.log
-rw-r--r-- 1 root root 650978 Jul 23 12:27 stats.log
-rw-r--r-- 1 root root  22853 Jul 23 11:53 unified2.alert.1374557837
-rw-r--r-- 1 root root   2691 Jul 23 12:09 unified2.alert.1374559711
-rw-r--r-- 1 root root   2143 Jul 23 12:13 unified2.alert.1374559939
-rw-r--r-- 1 root root   6262 Jul 23 12:27 unified2.alert.1374560613

    .תמא ןמזב ןכדועמ גצומה עדימהש אדוו "stats.log" ץבוקב הפצ

    # tail -f stats.log

tcp.reassembly_memuse     | Detect                    | 0
tcp.reassembly_gap        | Detect                    | 0
detect.alert              | Detect                    | 27
flow_mgr.closed_pruned    | FlowManagerThread         | 3
flow_mgr.new_pruned       | FlowManagerThread         | 277
flow_mgr.est_pruned       | FlowManagerThread         | 0
flow.memuse               | FlowManagerThread         | 3870000
flow.spare                | FlowManagerThread         | 10000
flow.emerg_mode_entered   | FlowManagerThread         | 0
flow.emerg_mode_over      | FlowManagerThread         | 0

    הינפה ירושיק