Осваиваем сетевую IDSIPS Suricata. Snort уже давно стал лидером среди опенсорсных сетевых IDS. Оставаясь практически единственным доступным и в то же время простым в настройке и работе решением, он получил заслуженное признание. Но в последнее время все больше стали говорить об альтернативе проекте Suricata, в котором реализуются все современные тенденции IDSIPS. Зачем нам еще одна IDS Статистика говорит, что трафик пользователей увеличивается каждый год на 5. К такой нагрузке следует быть готовым заранее. В том числе к обработке большого сетевого потока должны быть готовы маршрутизаторы, файрволы и системы обнаруженияпредотвращения атак. С коммерческими аппаратными решениями вопросов обычно не возникает, их мощность заранее рассчитана и проверена, а внедрением занимаются специалисты. Поэтому можно легко предусмотреть запас, но вот стоят они недешево. Альтернативой служат open source решения, зарекомендовавшие себя с хорошей стороны и при этом не требующие отчислений за софт. Но все вопросы по внедрению ложатся на плечи сисадмина. Популярный Snort начал разрабатываться в 1. Поэтому и была использована единственно актуальная в то время single threaded архитектура другая не имела смысла. За это время Snort применяет около 3. Сама компания разработчик Sourcefire была выкуплена Cisco вместе со Snort, Clam. AV и Razorback, а к работам над Snort подключились инженеры этой корпорации. За более чем 1. 7 лет разработок много изменилось в компьютером мире появились многоядерные процессоры, IPv. Это все нашло отражение в Snort поддержка IPv. Open. App. ID, универсальный модуль доступа к данным DAQ и многое другое. Но базовый движок, хотя и научился работать с несколькими ядрами, так и остался однопоточным. Основное отличие Suricata от Snort возможность использования. Установка и настройка IDSIPS SNORT в pfSense. Русская ветка http В этой статье речь пойдет о системе. И фактически Snort оказался не готов к переходу на настоящий multi threading. Так как ядро Linux на переключение между нитями затрачивает несколько ms, при старых алгоритмах обработки увеличение количества процессоров даже замедляло работу. Выходом из такой ситуации было ограничение ядер в параметрах загрузки maxcpus2. То есть мы имели мощные серверы, а использовать их на полную не могли. Когда Snort не справлялся с нагрузкой, то просто увеличивалась мощность CPU или использовалось несколько экземпляров с балансировкой нагрузки между ними этакий multitasking с помощью DAQ модуля для PF. Но проблемы это не решает, поэтому и возникли проекты вроде Gnort, задача которого повысить эффективность обнаружения атак Snort за счет переноса на GPU кода, отвечающего за проверку регулярных выражений. Это позволило добиться почти двукратного увеличения пропускной способности Snort. Но проблема многопоточности требует полной модернизации всех важных компонентов внутри Snort. Глобальным решением стали два проекта, стартовавших практически одновременно. Это Snort 3. 0, развивающийся уже более пяти лет, но находящийся до сих пор в альфе, то есть пока застряли на экспериментальной стадии и заняты тестированием оптимальных алгоритмов. И герой статьи Suricata, написанный с нуля. Проект Suricata. В 2. US Department of Homeland Security создали организацию Open Information Security Foundation OISF, основной из задач которой было финансирование и разработка многопоточной альтернативы Snort, получившей название Suricata. Работа над новой IDSIPS шла гораздо быстрее, чем со Snort 3. Разработка ведется с активным привлечением сообщества, поэтому темп очень высок. Код распространяется под лицензией GPLv. GPL версии движка, которую они могут брать для своих продуктов. Suricata изначально работает в многопоточном режиме, позволяющем оптимально использовать несколько CPU. До релиза 1. 3 были некоторые проблемы с масштабируемостью, например количество ядер больше четырех не давало в тестах прироста скорости. Теперь все проблемы решены и Suricata вполне эффективно работает с 2. Selection_014.png' alt='Snort Pfsense Настройка' title='Snort Pfsense Настройка' />Кроме того, Suricata может использовать вычисления на стороне GPU CUDA и Open. CL, параметр при сборке enable cuda. В итоге эта IDS спокойно справляется на обычном оборудовании с потоками до 1. Гбитс. Как и Snort, Suricata состоит из нескольких модулей захвата, сбора, декодирования, обнаружения и вывода, по умолчанию до декодирования захваченный трафик идет одним потоком, это оптимально с точки зрения детектирования, но больше нагружает систему. На протяжении многих лет работы Snort IDS в pfSense отловил множество. Прежде чем начать установку, вы должны создать настройку ВМ. Snort уже давно стал лидером среди опенсорсных сетевых IDS. Но вот их список PfSense, SmoothWallбывает двух видовплатный и бесплатный. Настройка локальной сети. Можно настроить прокси в настройках браузера. Не забываем и ставим snort со snortsam. Но в отличие от Snort настройками можно переопределять такое поведение и буквально одной установкой в конфиге разделить потоки сразу после захвата, а другой указать, как будут распределяться потоки по процессорам. Это дает широкие возможности для оптимизации обработки трафика на конкретном оборудовании в конкретной сети. Имеются развитые средства инспектирования HTTP трафика на основе библиотеки HTP, созданной Иваном Ристиком Ivan Ristic, автором Mod. Security. Поддерживается извлечение и проверка переданных по HTTP файлов, разбор сжатого контента, возможность идентификации по URI, cookie, заголовкам, user agent, телу запроса и ответа. Эту возможность Suricata, кстати, в некоторых сетях используют для протоколирования HTTP трафика без детектирования. Контент в потоке можно выделять за маской и при помощи регулярных выражений, идентификация файлов возможна по имени, типу или контрольной MD5 суммой. Изначально поддерживается декодирование IPv. IPv. 4 in IPv. 6, IPv. IPv. 6, Teredo и некоторые другие. Модульная компоновка движка дает возможность быстро подключить новый элемент для захвата, декодирования, анализа или обработки пакетов. Для перехвата трафика используется несколько интерфейсов NFQueue, IPFRing, Lib. Pcap, IPFW, AF. Режим Unix Socket позволяет автоматически анализировать PCAP файлы, предварительно захваченные другой программой снифером, например. В Snort режим IPS появился не сразу, а вот в Suricata режим блокировки вредоносного трафика реализован из коробки и производится средствами штатного пакетного фильтра ОС. В Linux, например, используется два режима IPS через очередь NFQUEUE, которая может обрабатываться на уровне пользователя, и через zero copy режим AF. Если пакет блокируется, он просто не пересылается на второй интерфейс. В случае с NFQUEUE алгоритм прост. После попадания пакета в iptables он направляется в очередь NFQUEUE, где прогоняется по правилам. Результатом может быть три действия NF. Последний позволяет маркировать пакеты и в дальнейшем прогнать их по следующим таблицамправилам iptables. Главная особенность Suricata то, что, кроме своих уникальных наработок, он использует практически все, что уже наработано для Snort. Так, подходят все Snort овские рулсеты Sourcefire VRT, Open. Source Emerging Threats ETOpen и коммерческие Emerging Threats Pro. Унифицирован вывод Unified. Barnyard. 2, Snortsnarf, Snorby, Aanval, BASE, FPCGUI, NSM система Sguil и Squert. Возможен вывод в PCAP, Syslog, файлы и подобное. Например, Suricata ведет журнал ключей и сертификатов, фигурирующих в TLSSSL соединениях. В последних релизах появился Eve log, формирующий вывод событий в формате JSON для предупреждений. Наличие JSON существенно упрощает интеграцию Suricata со сторонними приложениями, включая и системы мониторинга и визуализации логов вроде Kibana. Вcе настройки Suricata и правил производятся в файлах формата YAML, он более нагляден и упрощает автоматическую обработку. Одно из преимуществ Suricata заключается в обработке 7 го уровня OSI, что повышает его способность обнаруживать вредоносные программы для приложений. Движок автоматически определяет и парсит протоколы IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и другие, поэтому в правилах можно строго не привязываться к номеру порта, как это сделано в Snort, достаточно указать протокол и действие. Дальше модули Suricata сами уже разберутся с трафиком и обнаружат протокол, даже если используется нестандартный порт. Собственный формат rules внешне напоминает снортовский. Правило содержит компоненты действие pass, drop, reject или alert, заголовок IPпорт источника и назначения и описание что искать. Фильтруем вся и вс Хабрахабр. Данная статья представляет из себя скорее более FAQ, чем полноценный мануал. Впрочем, многое уже написано на хабре и для того присутствует поиск по тегам. Смысла переписывать вс заново большого нет. В последнее время наше государство, к счастью или не к счастью, принялась за интернет и его содержимое. Многие, несомненно, скажут что нарушаются права, свободы и т. Конечно, думаю мало у кого возникнуть сомнения по поводу того, что то что придуманные законы сделаны мало понимающими людьми в деле интернетов, да и основная их цель это не защита нас от того, что там есть. Будучи ответственным человеком да подгоняемый и прокурорами в некоторых учреждениях, встат вопрос ограничения поступающей информации. К таким учреждениям, к примеру, относятся школы, детсады, университеты и т. Да и бизнесу то же надо заботится об информационной безопасности. И первый наш пункт на пути к локальному контент фильтру это Анализ того, что такое есть интернет и как он работает. Далее известно, что у каждого сайта есть имя, содержания страницы, url, ip адрес. Известно, также, что на одном ip может сидеть несколько сайтов, как и наоборот. Так же, url адреса могут быть как динамичны, так и постоянны. Отсюда делаем выводы, что сайты можно мониторить по Имени сайтаurl страницы. По содержанию написанного на страничке сайта. По ip адресу. Данный путь носит название БООЛЬШОЙа бывает и маленький Белый список. Разрешаем только то, что хорошее и неизвестное. Запрещаем только плохое. Данный путь носит гордое имя Чрный список. Ну и конечно между двумя этими путями существует золотая середина запрещаем плохое, разрешаем хорошее, а неизвестное анализируем и в режиме онлайн выносим решение плохо или хорошо. Cредства их осуществления. Бесплатные решения это только программные. Но бывают и исключения, но это как раз тот случай, подтверждающий правило. К платным относятся такие, как Kaspersky антивирус соответствующего функционала, ideco. Найти их легко, ибо их хорошо рекламируют и достаточно в строке поиска ввести что то вроде контентный фильтр купить. Бесплатные решения имеют один недостаток они вс сразу делать не умеют. Но вот их список Pf. Sense, Smooth. Wallбывает двух видов платный и бесплатный. Бесплатный немного не функционален, Untangle. Gateway, Endian Firewallтоже есть платный и бесплатный, IPCOP, Vyatta, ebox platform, ComixwallЧудное решение. Можете скачать с моего сайта 9. Все данные решения обладают одним недостатком ограниченность. Данный путь самый трудный, но самый и гибкий. Позволяет сотворить вс, что душа пожелаетв том числе и лазейку. Но самые мощные и нужные это Squid. Без прокси ни куда. Dansguardian. Это сердце всего контентного фильтра. Единственный ему бесплатный соперникне считая его форков это POESIA фильтрно он очень дремуч. DNS сервер Bind. Clamav. Антивирус. Squidguard, режик и им подобные редиректоры для прокси. Squidclamav. Эта утилита делает из зашифрованного https трафика, расшифрованный http трафик. Программа Для Открытия Порта 27015. Аналоги ей прокси сервер flipper и charly proxy. Но работают аналоги на Windows. А второй платен. Но кому надо, то можно и wine развернуть. Чрные списки. Данные списки можно взять с www. Белые списки. Тут вс очень туго. Единственный нормальныйзначит большой русскоязычный список можно получить от лиги безопасного интернета, и то только в качестве proxy лиги безопасного интернета или программы www. ID5. 32. Кстати в связи с digest авторизацией на прокси лиги, данный прокси не подцепить к squid. Если кто знает как подцепить в качестве родительского прокси, прокси сервер с digest аутентификацией, прошу сообщить. DNS списки. Тут есть два известный варианта. Первый это skydns фильтр www. Второй это yandex dns dns. Skydns более функционален, в отличии от яндекса. Где происходит фильтрация. Есть для хрома и лиса соответствующие плагины. На отдельном компьютере или кластере компьютероввключая вариант на шлюзе. Распределнка. Но его нет нигде. Теперь следующий вопрос Наджность фильтрации. Защиту нужно делать многоуровневой, ибо то, что просочится на одном уровне защиты, перекроется другим уровнем. Давайте поговорим о О недостатках уровней защиты. Интернет это постоянно и главное очень быстро меняющаяся среда. Понятно, что наши списки будут не поспевать за интернетом, а уж тем более если мы их будем вести руками. Потому участвуйте в сообществах составления списков и используйте не только файлы со списками, но и сервисами списков, где вс сделают за наспример skydns и yandex. Что не попало в один, может попало в другой. Обычно программы, умеющие делать лексический разбор, умеют работать и по спискам. Но бесплатен во всем. Netpolice существует множество версий и есть бесплатная, но урезанная. На то способен только лексический анализ. Тут главная проблема антивирусные базы. Опять же, один антивирус на шлюзе, другой на рабочем месте. Анализ содержания написанного на страничке. Тут главная проблема лексический разбор текста. На искусственный разум, понятно, денег нет ни у кого, потому используют базу слов и выражений с весовым коэффициентом. Чем меньше база тем менее эффективна фильтрация, но и чем больше база, тем более она эффективна, но и трудозатратна. К примеру, разбор произведения Жюль Верна Таинственный остров с lib. Да и базу надо где то взять. Нормальную базу мне пришлось делать самому, чем с вами и делюсь 9. Следующий вопрос это Возможность обхода пользователем контентной фильтрации. Ну iptables это вопрос уже отдельной статьи. Запретить пользователям на рабочих местах что то ставить. Ясно дело нет программы нет обхода. Вопрос производительность. И очень полезно для тех, у кого мощности маленькие, использовать оптимизацию по CFLAGS. Это позволяют делать все линуксы и фряхи, но особо удобны gentoo, calculate linux, slackware, freebsd. Кстати, в нм же исправлена ошибка с невозможностью загрузки данных в интернет. CFLAGS. Не забудьте включить O3 mfpmathsse3. Про автопатчинг здесь. Вопрос иерархия кэшей и прокси. На одном ставите прокси сервер squid и указываете на нм параметры родительских кэшей с параметром round robinhttp habrahabr. В качестве родительских на каждом конкретном компьютере выступает выступает dansguardian со squid в связкеибо без вышестоящего dansguardian не умеет. Вышестоящие располагаются на тех же компьютерах, на которых располагаются и dansguardians. Для вышестоящих большой кэш не имеет смысла делать, а для первого обязательно самый большой кэш. Даже если у вас одна машина, то на ней вс равно делайте связку squid. На dansguardian не возлагайте ничего, кроме анализа написанного на страницах, перерисовки контента, заголовков и некоторых url, блокировки mime типов. Не в коем случае не вешайте на него антивирус и чрные листы, иначе будут тормоза. Анализ по спискам пусть будут делать squid. Проверку на вирусы пусть будет делать squidclamav через c icap на squid. Белые списки вешаем на squid. Вс, что в белом списке, должно идти напрямую в интернет, минуя родительские прокси. DNS сервер обязательно используем свой, в котором используем перенаправление на skydns или dns от yandex. Если есть локальные ресурсы провайдера, то добавляем зону forward на dns провайдера. Так же в dns сервере прописываем локальную зону для нужных внутрисетевых ресурсова что бы было красиво, они нужны. Указываем nosslsearch поиска google. В конфигах squid обязательно используем свой dns. Для всего используем вебку Webmin и командную строчку. На windows серверах вс делаем через мышку. Настройка локальной сети. Используйте аутентификацию по ip адресам. Если вы не серьзная организация, доступ с обязательным логинированием ни к чему. Используйте логически разделнные сети в одной сплошной физической сети. IP адреса выдавайте по MAC адресам. Запрещайте коннект на порт прокси сервера при несовпадении MAC адреса машины с присвоенному данному MAC адресу, IP адреса. Настройте iptables таким образом, чтобы обращения на любые порты3. Настройте автоматическую настройку прокси сервера в сети через dns и dhcp.