Я установил Suricata и Shorewall на устройство с 3 сетевыми адаптерами и Wi-Fi картой, я хотел настроить Suricata как IPS. Я выполнил несколько инструкций как из руководства, так и из нескольких блогов. Я сильно сомневаюсь, что Suricata с моей конфигурацией не работает как IPS. Я включил несколько правил, чтобы проверить конфигурацию. Я тоже создал собственное правило, но не получаю желаемого результата. Мне нужна помощь, если я ошибся в настройке. Ниже я прикрепляю созданное мной собственное правило. Спасибо.
сеть / интерфейсы: - # Петлевой сетевой интерфейс
авто лоу
iface lo inet loopback
- # Wan интерфейс
разрешить горячее подключение enp1s0
авто enp1s0
iface enp1s0 inet dhcp
- # первый интерфейс Lan
авто enp2s0
iface enp2s0 inet руководство
предварительная установка IP-ссылки $ IFACE вверх
пост-вниз IP-ссылка отключила $ IFACE
- # второй LAN интерфейс
авто enp3s0
iface enp3s0 inet руководство
предварительная установка IP-ссылки $ IFACE вверх
пост-вниз IP-ссылка отключила $ IFACE
-# Беспроводные Настройки
авто wlp5s0
iface wlp5s0 inet руководство
предварительная установка IP-ссылки $ IFACE вверх
пост-вниз IP-ссылка отключила $ IFACE
-#Мост
авто br0
iface br0 inet static
bridge_ports enp2s0 enp3s0 wlp5s0
адрес 192.168.8.1
маска сети 255.255.255.0
широковещательный 192.168.8.255
сеть 192.168.8.0
вверх / sbin / brctl stp br0 на
Shorewall / правила:
? РАЗДЕЛ ВСЕ
NFQUEUE (0, обход) все все tcp, udp! 5194
Shorewall / политика:
fw все ПРИНЯТЬ
vpn loc ПРИНЯТЬ
loc net DROP info
чистая вся информация о DROP
вся вся информация о DROP
suricata / rules / local.rules:
drop tcp any any -> any any (msg: "tldp is bloccato"; content: "tldp.org"; http_header; nocase; classtype: bad-unknown; sid: 1000004; rev: 1;)
suricata / fast.log:
19.10.2019 - 17: 02: 26.070723 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.176.27.18:58195 -> 192.168.1.128:4594
19.10.2019 - 17: 02: 43.586497 [wDrop] [] [1: 2010935: 3] ET SCAN Подозрительный входящий трафик на порт MSSQL 1433 [] [Классификация: потенциально опасный трафик] [Приоритет: 2] {TCP} 58.223.124.116:44802 -> 192.168.1.128:1433
19.10.2019 - 17: 02: 43.586497 [] [1: 2403343: 52827] ET CINS Активный анализ угроз Низкая репутация IP-группа 44 [] [Классификация: разные атаки] [Приоритет: 2] {TCP} 58.223.124.116:44802 -> 192.168.1.128:1433
19.10.2019 - 17: 03: 50.338437 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 45.136.109.248:52950 -> 192.168.1.128:3761
19.10.2019 - 17: 04: 56.341478 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.137.234.186:46359 -> 192.168.1.128:59808
19.10.2019 - 17: 05: 02.576873 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команд общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39118
19.10.2019 - 17: 05: 04.396305 [wDrop] [] [1: 2402000: 5336] ET DROP Dshield Block Listed Source group 1 [] [Классификация: разные атаки] [Приоритет: 2] {TCP} 185.142.236.35:27962 -> 192.168.1.128:5938
19.10.2019 - 17: 05: 13.080201 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команды общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39120
19.10.2019 - 17: 05: 39.433717 [wDrop] [] [1: 2260002: 1] Протокол SURICATA Applayer Detect только в одном направлении [] [Классификация: декодирование команды общего протокола] [Приоритет: 3] {TCP} 149.154.167.92:443 -> 192.168.1.128:39130
19.10.2019 - 17: 06: 03.692835 [wDrop] [] [1: 2009582: 3] ET SCAN NMAP -sS окно 1024 [] [Классификация: попытка утечки информации] [Приоритет: 2] {TCP} 185.176.27.18:58195 -> 192.168.1.128:4489
suricata.yaml:
вары:
адресные группы:
HOME_NET: "[192.168.1.0/24,192.168.8.0/24,172.16.23.0/24]"
EXTERNAL_NET: "!$HOME_NET"
HTTP_SERVERS: "$HOME_NET"
SMTP_SERVERS: "$HOME_NET"
SQL_SERVERS: "$HOME_NET"
DNS_SERVERS: "$HOME_NET"
TELNET_SERVERS: "$HOME_NET"
AIM_SERVERS: "$EXTERNAL_NET"
DNP3_SERVER: "$HOME_NET"
DNP3_CLIENT: "$HOME_NET"
MODBUS_CLIENT: "$HOME_NET"
MODBUS_SERVER: "$HOME_NET"
ENIP_CLIENT: "$HOME_NET"
ENIP_SERVER: "$HOME_NET"
группы портов:
HTTP_PORTS: "80"
SHELLCODE_PORTS: "!80"
ORACLE_PORTS: 1521
SSH_PORTS: 5022
DNP3_PORTS: 20000
MODBUS_PORTS: 502
путь-правило-по умолчанию: / etc / suricata / rules
файлы правил:
local.rules
botcc.rules
....
файл классификации: /etc/suricata/rules/classification.config
файл-ссылки-конфигурации: /etc/suricata/reference.config
host-mode: маршрутизатор
порядок действий:
проходить
падение
отвергать
предупреждение
host-os-policy:
Linux: [192.168.1.0/24,192.168.8.0/24,172.16.23.0/24]
поток:
memcap: 64 МБ
checkum-validation: yes # отклонить неверные csums
встроенный: да
повторная сборка:
memcap: 256mb
depth: 1mb # reassemble 1mb into a stream
toserver-chunk-size: 2560
toclient-chunk-size: 2560
randomize-chunk-size: yes
профилирование:
правила:
enabled: yes
filename: rule_perf.log
append: yes
sort: avgticks
limit: 100
json: yes
ключевые слова:
enabled: yes
filename: keyword_perf.log
append: yes
rulegroups:
enabled: yes
filename: rule_group_perf.log
append: yes
пакеты:
enabled: yes
filename: packet_stats.log
append: yes
csv:
enabled: no
filename: packet_stats.csv
замки:
enabled: no
filename: lock_stats.log
append: yes
pcap-журнал:
enabled: no
filename: pcaplog_stats.log
append: yes
- # nfq:
- # режим: принять
- # повторная отметка: 1
- # маска повтора: 1
- # bypass-mark: 1
- # маска обхода: 1
- # маршрут-очередь: 2
- # batchcount: 20
- # открытие при отказе: да
nflog:
группа: 2
размер буфера: 18432
группа: по умолчанию
qthreshold: 1
qtimeout: 100
макс-размер: 20000
захватить:
карта сети:
интерфейс: br0
интерфейс: по умолчанию
pfring:
интерфейс: enp1s0
темы: 1
идентификатор кластера: 99
тип кластера: cluster_flow
напатех:
hba: -1
streams: [1, 2, 3]
mpipe:
баланс нагрузки: динамический
iqueue-пакетов: 2048
входы:
интерфейс: xgbe2
интерфейс: xgbe3
интерфейс: xgbe4