之前也沒有怎麼寫過blog。所以很多地方可能不對,請大家多多包涵。
Suricata介紹
Suricata是一款高性能的網絡IDS、IPS和網絡安全監控引擎。它是由the Open Information Security Foundation開發,是一款開源的系統。軟件的源代碼可以通過http://suricata-ids.org/獲得。
IDS介紹
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓裏的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行爲,只有實時監視系統才能發現情況併發出警告。
IDS在種類上可以分爲:
1、主機型IDS
2、網絡型IDS入侵預防系統(IPS: Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。 入侵預防系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行爲的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行爲。
2、IPS介紹
入侵預防系統(IPS: Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。 入侵預防系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行爲的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行爲。
IPS分類也是基於主機型和網絡型兩種。
Suricata安裝過程
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \ make libmagic-devSuricata默認的運行模式是IDS,如果你想跑IPS模式則還需要安裝
sudo apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0安裝好這些庫之後就開始下載源代碼,Suricata現在的源代碼版本分爲穩定版和開發版,現在的穩定版是suricata1.4.7,開發版本是suricata2.0。得到源碼可以通過兩種形式,
wget http://www.openinfosecfoundation.org/download/suricata-2.0.tar.gz tar -xvzf suricata-2.0.tar.gz cd suricata-2.0因爲下載的格式是*.tar.gz所以可以通過tar -xvzf進行解壓,或者是通過兩步解壓縮。先用gunzip解壓*.gz,再用tar還原tar打包文件。
sudo mkdir /var/log/suricata然後建立配置文件所需目錄。
sudo mkdir /etc/suricata最後再將下載的suricata源代碼裏面的配置文件拷貝到/etc/suricata目錄下,配置文件有3個,分別是classifiction.config、reference.config、suricata.yaml。
sudo cp classification.config /etc/suricata sudo cp reference.config /etc/suricata sudo cp suricata.yaml /etc/suricata這裏要注意一下,可能要修改suricata.yaml中的路徑,因爲suricata啓動的時候是安裝suricata.yaml配置文件來讀取配置文件的。因爲我之前遇到suricata.yaml對classification.config和reference.config的路徑不是/etc/suricata,如果是這樣的話就需要你自己把suricata.yaml中的路徑修改成/etc/suricata/classifiction.config或者是reference.config。
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
也可以使用
./configure && make && make install-rules
make install-rules命令是幫你安裝suricata提供的規則文件,這個規則文件是IPS/IDS的核心。也就是通過規則文件suricata才知道哪些數據包是攻擊數據包。
最後運行IDS模式的方式是:
sudo suricata -c /etc/suricata/suricata.yaml -i wlan0
你可以自己查看自己的網絡端口,通過ifconfig命令。然後將對應的wlan0換成你自己的網絡端口號,一般物理口是eth0。不過還是要通過查看之後才能夠確定。
到此,Suricata已經可以運行起來了。
如果你要使用Suricata的NFQ模式,也就是IPS inline模式的話還需要配置iptable
sudo iptables -I FORWARD -j NFQUEUE
sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE
sudo iptables -I INPUT -p tcp -j NFQUEUE sudo iptables -I OUTPUT -p tcp -j NFQUEUE
sudo iptables -I INPUT -p tcp --sport 80 -j NFQUEUE sudo iptables -I OUTPUT -p tcp --dport 80 -j NFQUEUE
sudo iptables -I FORWARD -i eth0 -o eth1 -j NFQUEUE sudo iptables -I FORWARD -i eth1 -o eth0 -j NFQUEUE
配置好iptable之後你可以使用iptable -vnL查看你所配置的規則。結果如下:
啓動NFQ模式的IPS:
sudo suricata -c /etc/suricata/suricata.yaml -q 0
安裝Suricata也就完成,接下來我會介紹Suricata的規則庫管理以及Suricata的源代碼。
如果有問題請大家及時提出以方便我更改。謝謝大家