Назад | Перейти на главную страницу

настройка режима Suricata IPS

Я установил Suricata и Shorewall на устройство с 3 сетевыми адаптерами и Wi-Fi картой, я хотел настроить Suricata как IPS. Я выполнил несколько инструкций как из руководства, так и из нескольких блогов. Я сильно сомневаюсь, что Suricata с моей конфигурацией не работает как IPS. Я включил несколько правил, чтобы проверить конфигурацию. Я тоже создал собственное правило, но не получаю желаемого результата. Мне нужна помощь, если я ошибся в настройке. Ниже я прикрепляю созданное мной собственное правило. Спасибо.

сеть / интерфейсы: - # Петлевой сетевой интерфейс

авто лоу

iface lo inet loopback

- # Wan интерфейс

разрешить горячее подключение enp1s0

авто enp1s0

iface enp1s0 inet dhcp

- # первый интерфейс Lan

авто enp2s0

iface enp2s0 inet руководство

предварительная установка IP-ссылки $ IFACE вверх

пост-вниз IP-ссылка отключила $ IFACE

- # второй LAN интерфейс

авто enp3s0

iface enp3s0 inet руководство

предварительная установка IP-ссылки $ IFACE вверх

пост-вниз IP-ссылка отключила $ IFACE

-# Беспроводные Настройки

авто wlp5s0

iface wlp5s0 inet руководство

предварительная установка IP-ссылки $ IFACE вверх

пост-вниз IP-ссылка отключила $ IFACE

-#Мост

авто br0

iface br0 inet static

bridge_ports enp2s0 enp3s0 wlp5s0

адрес 192.168.8.1

маска сети 255.255.255.0

широковещательный 192.168.8.255

сеть 192.168.8.0

вверх / sbin / brctl stp br0 на

Shorewall / правила:

? РАЗДЕЛ ВСЕ

NFQUEUE (0, обход) все все tcp, udp! 5194

Shorewall / политика:

fw все ПРИНЯТЬ

vpn loc ПРИНЯТЬ

loc net DROP info

чистая вся информация о DROP

вся вся информация о DROP

suricata / rules / local.rules:

drop tcp any any -> any any (msg: "tldp is bloccato"; content: "tldp.org"; http_header; nocase; classtype: bad-unknown; sid: 1000004; rev: 1;)

suricata / fast.log:

19.10.2019 - 17: 02: 26.070723 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.176.27.18:58195 -> 192.168.1.128:4594

19.10.2019 - 17: 02: 43.586497 [wDrop] [] [1: 2010935: 3] ET SCAN Подозрительный входящий трафик на порт MSSQL 1433 [] [Классификация: потенциально опасный трафик] [Приоритет: 2] {TCP} 58.223.124.116:44802 -> 192.168.1.128:1433

19.10.2019 - 17: 02: 43.586497 [] [1: 2403343: 52827] ET CINS Активный анализ угроз Низкая репутация IP-группа 44 [] [Классификация: разные атаки] [Приоритет: 2] {TCP} 58.223.124.116:44802 -> 192.168.1.128:1433

19.10.2019 - 17: 03: 50.338437 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 45.136.109.248:52950 -> 192.168.1.128:3761

19.10.2019 - 17: 04: 56.341478 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.137.234.186:46359 -> 192.168.1.128:59808

19.10.2019 - 17: 05: 02.576873 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команд общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39118

19.10.2019 - 17: 05: 04.396305 [wDrop] [] [1: 2402000: 5336] ET DROP Dshield Block Listed Source group 1 [] [Классификация: разные атаки] [Приоритет: 2] {TCP} 185.142.236.35:27962 -> 192.168.1.128:5938

19.10.2019 - 17: 05: 13.080201 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команды общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39120

19.10.2019 - 17: 05: 39.433717 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команды общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39130

19.10.2019 - 17: 06: 03.692835 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.176.27.18:58195 -> 192.168.1.128:4489

suricata.yaml:

вары:

адресные группы:

HOME_NET: "[192.168.1.0/24,192.168.8.0/24,172.16.23.0/24]"

EXTERNAL_NET: "!$HOME_NET"

HTTP_SERVERS: "$HOME_NET"

SMTP_SERVERS: "$HOME_NET"

SQL_SERVERS: "$HOME_NET"

DNS_SERVERS: "$HOME_NET"

TELNET_SERVERS: "$HOME_NET"

AIM_SERVERS: "$EXTERNAL_NET"

DNP3_SERVER: "$HOME_NET"

DNP3_CLIENT: "$HOME_NET"

MODBUS_CLIENT: "$HOME_NET"

MODBUS_SERVER: "$HOME_NET"

ENIP_CLIENT: "$HOME_NET"

ENIP_SERVER: "$HOME_NET"

группы портов:

HTTP_PORTS: "80"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 5022

DNP3_PORTS: 20000

MODBUS_PORTS: 502

путь-правило-по умолчанию: / etc / suricata / rules

файлы правил:

....

файл классификации: /etc/suricata/rules/classification.config

файл-ссылки-конфигурации: /etc/suricata/reference.config

host-mode: маршрутизатор

порядок действий:

host-os-policy:

Linux: [192.168.1.0/24,192.168.8.0/24,172.16.23.0/24]

поток:

memcap: 64 МБ

checkum-validation: yes # отклонить неверные csums

встроенный: да

повторная сборка:

memcap: 256mb

depth: 1mb                  # reassemble 1mb into a stream

toserver-chunk-size: 2560

toclient-chunk-size: 2560

randomize-chunk-size: yes

профилирование:

правила:

enabled: yes

filename: rule_perf.log

append: yes

sort: avgticks

limit: 100

json: yes

ключевые слова:

enabled: yes

filename: keyword_perf.log

append: yes

rulegroups:

enabled: yes

filename: rule_group_perf.log

append: yes

пакеты:

enabled: yes

filename: packet_stats.log

append: yes

csv:

  enabled: no

  filename: packet_stats.csv

замки:

enabled: no

filename: lock_stats.log

append: yes

pcap-журнал:

enabled: no

filename: pcaplog_stats.log

append: yes

- # nfq:

- # режим: принять

- # повторная отметка: 1

- # маска повтора: 1

- # bypass-mark: 1

- # маска обхода: 1

- # маршрут-очередь: 2

- # batchcount: 20

- # открытие при отказе: да

nflog:

захватить:

карта сети:

pfring:

напатех:

hba: -1

streams: [1, 2, 3]

mpipe:

баланс нагрузки: динамический

iqueue-пакетов: 2048

входы: