Aktualności

  • Suricata – interesujący, darmowy IDS dla CentOS cz. 1 – instalacja

    dodany przez Przemysław Sikora

    Dzisiaj kolejny już raz chciałbym poruszyć kwestie dotyczące bezpieczeństwa systemów informatycznych. Niezwykle istotne jest szybkie wykrywanie i reagowanie na wszelkie incydenty związane z naszymi zasobami. Nie jesteśmy jednak w stanie non stop przeglądać i analizować logów w poszukiwaniu zagrożenia. Od tego jest oprogramowanie takie jak Suricata.

    Jest ono w stanie dostarczyć szerokie spektrum informacji na temat potencjalnych problemów związanych z bezpieczeństwem. Przystąpmy do jego instalacji:

    yum install epel-release wget perl perl-Crypt-SSLeay perl-libwww-perl perl-Sys-Syslog perl-LWP-Protocol-https
    yum install suricata
    cd /etc/suricata

    Następnie pobieramy i wgrywamy dodatkowe regułki dla naszego IDS-a.

    wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
    tar xvsf emerging.rules.tar.gz
    chown suricata rules/ -R

    vim /etc/suricata/suricata.yaml[/php]
    HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    Zamiast domyślnych IP w configu, wpisujemy IP naszego publicznego interfejsu (tego, którego chcemy monitorować). Następnie zapisujemy i uruchamiamy suricate.

    systemctl start suricata

    Logi znajdziemy w katalogu „/var/log/suricata”. Aby sprawdzić czy udało się nam uruchomić omawiany system zabezpieczeń, proszę po zalogowaniu nasz serwer wydać komendę: curl -A „BlackSun” centos.com.pl W pliku „/var/log/suricata/fast.log” powinniśmy znaleźć podobny wpis to tego poniżej:
    04/30/2017-00:16:36.317226 [**] [1:2008983:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 91.124.184.121:38628 -> 37.187.223.14:80
    Jeśli tak się stało, „jesteśmy w domu” 🙂

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony