Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-07-16 07:34:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Suricata - czy ktoś tego używał?

Witam

Pojawił się ostatnio nowy "snortokształtny" program - suricata.

Włąśnie go obczajam, i wygląda niemal cudownie.
Może wycinać exploity, wirusy, shellcode, i inny syf na routerze lub serwerze, potrafi korzystać z CUDA
- to raczej na desktop, ale GeForce w wolnych chwilach ma potężne możliwości obliczeniowe.

Dowcip polega na tym, że szukam i szukam  bez końca, i z tego co widzę, wszędzie są zazwyczaj instrukcje instalacji, albo newsy że coś takiego jest, ewentualnie składnia pliku konfiguracyjnego.
Program bazuje na regułach snorta, potrafi współdziałać z firewallem przez nfqueue, przykładowo przy takiej konfiguracji:

Kod:

iptables -t raw -A PREROUTING -j NFQUEUE –queue-num 0
iptables -t raw -A OUTPUT -j NFQUEUE –queue-num 0
suricata -c /etc/suricata/suricata.yaml -D -q 0

działa stabilnie, bez wpadek, niby cud miodzio.

Tylko jakoś nigdzie nie znalazłem odpowiedzi na jedno drobne pytanie:
Jak ten program potrafi blokować exploity i inny syf - czy tak jak snort, gdzie pomimo trybu inline trzeba się certolić ze snortsamem lub guardianem, czy ma wbudowane opcje blokowania połączeń zawierających zagrożenia i anomalie sieciowe (jakie są w regułach).
Bo nakarmiłem to cudo regułami snorta i emergithreats,
każdy proces potrzebuje około 400 MB RAM, więc zapewne coś robi :).

Tylko jakoś opinii na temat szczegółów i skuteczności tej roboty zbyt wiele nie znalazłem.

Znacie jakiś większy opis działania tego cudu, najlepiej po polsku (choć niekoniecznie - byle nie po chińsku czy japońsku)?

EIT:
Program wygląda w pracy nieźle, 12 minut od włączenia:

Kod:

07/16/10-06:23:25.043582  [**] [1:2003294:6] ET WORM Allaple ICMP Sweep Ping Inbound [**] [Classification: A Network Trojan was Detected] [Priority: 3] {1} 193.25.120.6:8 -> <mój-adres>:0 [Xref => http://www.sophos.com/virusinfo/analyses/w32allapleb.html][Xref => http://isc.sans.org/diary.html?storyid=2451][Xref => http://doc.emergingthreats.net/2003294][Xref => http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/WORM_Allaple]
07/16/10-06:23:25.043582  [**] [1:384:5] ICMP PING [**] [Classification: Misc activity] [Priority: 3] {1} 193.25.120.6:8 -> <mój-adres>:0
07/16/10-06:23:25.043582  [**] [1:384:5] ICMP PING [**] [Classification: Misc activity] [Priority: 3] {1} 193.25.120.6:8 -> <mój-adres>:0
07/16/10-06:23:27.077753  [**] [1:384:5] ICMP PING [**] [Classification: Misc activity] [Priority: 3] {1} 193.25.120.6:8 -> <mój-adres>:0
07/16/10-06:23:27.077753  [**] [1:384:5] ICMP PING [**] [Classification: Misc activity] [Priority: 3] {1} 193.25.120.6:8 -> <mój-adres>:0

Gdyby to cudo na 100% dropowało takie kwiatki, to byłoby pięknie.

Pozdrawiam
;-)))

Ostatnio edytowany przez Jacekalex (2010-07-16 08:33:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2010-07-16 14:25:20

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Suricata - czy ktoś tego używał?

A to Snort dział Ci w trybie inline? W takim razie po co Ci SnortSam?


Kiedyś o tym projekcje czytałem, nie wiele jest jeszcze osób, które tego próbowały, więc z opisem ciężko może być - chyba że sam go napiszesz :)

Offline

 

#3  2010-07-16 14:46:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Suricata - czy ktoś tego używał?

Snort Inline potrzebuje jakiegoś archaicznego libneta 1.0x - u mnie nie chciał się skompilować za żadne skarby świata (Debian|Ubuntu), tylko na Gentoo skompilował się z inline.
W tej chwili mam snorta 2.8.6 objawy inline standardowe (libnet.h), nałożona łata snortsam, wyłącza się po kilku sekundach, nie wiem, co za licho, dopiero sprawdzę.

Natomiast suricata chodzi dość stabilnie, bez żadnych fanaberii z obciążeniem procka, ogólnie, jak znajdę jakąś stronkę z exploitami, to sprawdzę, czy działa ;)

Poza tym - wykorzystanie technologii cuda - co jest diabelnie ciekawe (nie widziałem jeszcze firefoxa, który potrzebuje zaawansowanego 3D ;)), bo w przeciwieństwie do procka, na grafie zawsze mam trochę mocy przerobowych (kiedy siedzę w necie), - jak chyba wszyscy.

A program, o ile będzie skuteczny, może być fajny (odeszłoby aktualizowanie (kompilacja)) snorta inline co jakiś czas.
Bo repowym snortom conieco brakuje w tym zakresie.

Pozdrawiam
;)))

Ostatnio edytowany przez Jacekalex (2010-07-16 15:12:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2010-07-16 14:58:02

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Suricata - czy ktoś tego używał?

Jak ta Suricata poprawi to co złego w Sort to będę się cieszył, puki co, rozczarowany, instalacją Sonorta w trybie inline na własne potrzeby napisałem własny skrypt współpracujący z iptables:  http://debian.linux.pl/entries/30-Implementacja-sys … ythonie-cz.-1

Jak już przetestujesz ten projekt i będzie coś ciekawego to napisz tu na forum.

Offline

 

#5  2010-07-16 15:25:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Suricata - czy ktoś tego używał?

Akurat to, co widzę w opisie na stronie - która podałeś, w kontekście autoryzacji np. w dovecocie, można łatwo załatwić programem swatch, wywołującym określoną akcję.

Ponadto - do dovecota użyłbym standardowego snorta z (guardianem|snortsamem), a na próby za częstych logowań nieźle pomaga również ipt_recent.

A inline potrzebuję jako rozwiązanie na (routerze|hoście bastionowym), który filtruje net zabezpieczając sieć lokalną.
Sprawdza się to lepiej niż proxy (np. padu-padu kiepsko działa przez proxy (autopsja)), a bezpieczeństwo tego komunikatora w win$ jest piękne, jak sam komunikator :).

Ponadto suricata chyba nieco lepiej parsuje reguły z emergithreats, snort sypał błędami.

Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2012-07-30 00:23:57)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2012-01-06 15:45:09

  Tomeku - Użytkownik

Tomeku
Użytkownik
Skąd: Poznań
Zarejestrowany: 2009-06-07

Re: Suricata - czy ktoś tego używał?

Testuje sobie właśnie suricate za pomocą pytbull: http://pytbull.sourceforge.net

Mam dodane reguły emergithreats oraz snorta (2900), ale niestety nie wszystkie są przyjmowane:

Kod:

118 rule files processed. 15948 rules succesfully loaded, 25274 rules failed

W pliku konfiguracyjnym EXTERNAL_NET mam ustawione na "any".

Niestety podczas testu logi zawalane są masowo taką informacją (plik rośnie w zastraszającym tempie):

Kod:

[1:2200003:1] SURICATA IPv4 truncated packet [**] [Classification: (null)] [Priority: 3] [**] [Raw pkt: 1C 4B D6 C2 F0 29 08 00 27 69 73 F8 08 00 45 08 11 2C 2C CD 40 00 40 06 78 D6 C0 A8 01 6C C0 A8

W przypadku ustawienia EXTERNAL_NET na "!HOME_NET" większość reguł jest odrzucana

Kod:

118 rule files processed. 1312 rules succesfully loaded, 39910 rules failed

Ale tylu informacji jak wyżej w logach nie ma.

Wiecie jak poprawnie dodać do suricaty jak najwięcej reguł?

Ostatnio edytowany przez Tomeku (2012-01-06 16:14:38)

Offline

 

#7  2012-02-24 15:33:42

  az - debianlover

az
debianlover
Zarejestrowany: 2009-01-23

Re: Suricata - czy ktoś tego używał?

Suricata + emergingthreats + pytbull - http://goo.gl/lRs6a


Debian everywhere

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)