欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

如何在Linux上安装Suricata入侵检测系统?

程序员文章站 2022-03-19 12:05:31
由于安全威胁持续不断,配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而,随着越来越多的服务器将网卡升级到10GB/40GB以太网技术,我们越来越难在大众化硬件上... 15-09-11...

本篇文章将演示如何在linux服务器上安装和配置suricata ids。

在linux上安装suricata ids

不妨用源代码构建suricata。你先要安装几个所需的依赖项,如下所示。

在debian、ubuntu或linux mint上安装依赖项

$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev
在centos、fedora或rhel上安装依赖项

$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel
一旦你安装了所有必需的程序包,现在可以安装suricata了,如下所示。

首先,从http://suricata-ids.org/download/下载最新的suricata源代码,编译代码。截至本文撰稿时,最新版本是2.0.8。
这是配置的示例输出结果。

如何在Linux上安装Suricata入侵检测系统?

现在编译并安装它。

$ make
$ sudo make install
suricata源代码随带默认的配置文件。不妨安装这些默认的配置文件,如下所示。

$ sudo make install-conf
正如你所知,要是没有ids规则集,suricata毫无用处。颇为方便的是,makefile随带ids规则安装选项。想安装ids规则,运行下面这个命令即可。

$ sudo make install-rules
上述规则安装命令会从emergingthreats.net(https://www.bro.org)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下。

如何在Linux上安装Suricata入侵检测系统?

首次配置suricata ids

现在就可以配置suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件,以便编辑。

$ sudo vi /etc/suricata/suricata.yaml

下面是一些基本的设置,供你开始入门。

“default-log-dir”关键字应该指向suricata日志文件的位置。

default-log-dir: /var/log/suricata/
在“vars”这部分下面,你会找到suricata使用的几个重要变量。“home_net”应该指向由suricata检查的本地网络。“!$home_net”(被分配给external_net)指本地网络以外的任何网络。“xxx_ports”表明不同服务所使用的一个或多个端口号。请注意:不管使用哪个端口, suricata都能自动检测http流量。所以,正确指定http_ports变量并不是很重要。

vars:
home_net: "[192.168.122.0/24]"
external_net: "!$home_net"
http_ports: "80"
shellcode_ports: "!80"
ssh_ports: 22
“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如tcp重组)来规避检测的常见攻击。作为一项应对措施,现代ids想出了所谓的“基于目标的”检测,检查引擎根据流量的目标操作系统,对检测算法进行微调。因而,如果你知道每个本地主机运行什么操作系统,就可以将该信息提供给suricata,从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中,默认的ids策略是linux;如果不知道某个ip地址的操作系统信息,suricata就会运用基于linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量,suricata就会运用基于windows的检查策略。

host-os-policy:
# 这些是windows机器。
windows: [192.168.122.0/28, 192.168.122.155]
bsd: []
bsd-right: []
old-linux: []
# 将linux作为默认策略。
linux: [0.0.0.0/0]
old-solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []
在“threading”这部分下面,你可以为不同的suricata线程指定cpu亲和性(cpu affinity)。默认情况下,cpu亲和性被禁用(“set-cpu-affinity: no”),这意味着suricata线程将被安排在任何可用的cpu核心上。默认情况下,suricata会为每个cpu核心创建一个“检测”线程。你可以调整这个行为,只要指定“detect-thread-ratio: n”。这会创建n x m个检测 线程,其中m是指主机上cpu核心的总数。

threading:
set-cpu-affinity: no
detect-thread-ratio: 1.5
就上述线程设置而言,suricata会创建1.5 x m个检测线程,其中m是系统上cpu核心的总数。

想了解关于suricata配置的更多信息,你可以阅读默认的配置文件本身,为了便于理解,加有大量注释。

使用suricata执行入侵检测

现在可以试着运行suricata了。在启动它之前,还有一个步骤要完成。

如果你使用pcap捕获模式,强烈建议关闭suricata侦听的那个网卡上的任何数据包卸载功能(比如lro/gro),因为那些功能可能会干扰数据包实时捕获。

下面介绍如何关闭网络接口eth0上的lro/gro:

$ sudo ethtool -k eth0 gro off lro off
请注意:视使用的网卡而定,你可能会看到下列警示信息,可以忽视这个信息。它只是意味着你的网卡不支持lro。

cannot change large-receive-offload
suricata支持多种运行模式。运行模式决定了不同的线程如何用于ids。下面这个命令列出了所有可用的运行模式。

$ sudo /usr/local/bin/suricata --list-runmodes
suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下,来自每一路流的数据包被分配给单一的检测线程。流被分配给了未处理数据包数量最少的线程。

最后,不妨启动suricata,看看它的实际运行情况。

$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal

如何在Linux上安装Suricata入侵检测系统?

在这个例子中,我们监控一个8核系统上的网络接口eth0。如上所示,suricata创建了13个数据包处理线程和3个管理线程。数据包处理线程包括1个pcap数据包捕获线程和12个检测线程(相当于8 x 1.5)。这意味着,一个捕获线程捕获的数据包经负载均衡处理后,变成了ids面前的12个检测线程。管理线程是一个流管理器和两个计数器/统计相关线程。

下面是suricata进程的线程视图(由htop描绘)。

suricata检测日志存储在/var/log/suricata目录下。

$ tail -f /var/log/suricata/fast.log
04/01/2015-15:47:12.559075 [**] [1:2200074:1] suricata tcpv4 invalid checksum [**] [classification: (null)] [priority: 3] {tcp} 172.16.253.158:22 -> 172.16.253.1:46997
04/01/2015-15:49:06.565901 [**] [1:2200074:1] suricata tcpv4 invalid checksum [**] [classification: (null)] [priority: 3] {tcp} 172.16.253.158:22 -> 172.16.253.1:46317
04/01/2015-15:49:06.566759 [**] [1:2200074:1] suricata tcpv4 invalid checksum [**] [classification: (null)] [priority: 3] {tcp} 172.16.253.158:22 -> 172.16.253.1:46317
为了易于导入,还有json格式的日志:

$ tail -f /var/log/suricata/eve.json
{"timestamp":"2015-04-01t15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"tcp","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"suricata tcpv4 invalid checksum","category":"","severity":3}}

{"timestamp":"2015-04-01t15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"tcp","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"suricata tcpv4 invalid checksum","category":"","severity":3}}

结束语

我在本教程中演示了如何在多核linux服务器上安装一个suricata ids。不像单线程snort ids,suricata轻松就能得益于采用多线程技术的多核硬件。想最大限度地提高性能、扩大检测覆盖范围,suricata方面需要进行大量的定制工作。

你目前在使用suricata吗?如果是的话,欢迎交流经验和心得!