مرجع تخصصی شبکه ایران

ترفندها و آموزش‌ها

دانلودها

دوره‌ آموزشی

VoIP

بیش از 5 مورد

Vmware

بیش از 18 مورد

Virtualization

بیش از 18 مورد

Utility

بیش از 12 مورد

Mikrotik

بیش از 10 مورد

Microsoft

بیش از 8 مورد

Linux

بیش از 16 مورد

HPE

بیش از 5 مورد

Developers

بیش از 1 مورد

Cisco

بیش از 15 مورد

پیکربندی و نصب سیستم Intrusion Detection با Suricata روی لینوکس

| تعداد کامنت 0
نصب سیستم Intrusion Detection با Suricata روی لینوکس

در دنیای امروز، امنیت شبکه یکی از حیاتی‌ترین موارد برای هر سازمان یا فردی است که به اینترنت متصل است. سیستم‌های تشخیص نفوذ (Intrusion Detection Systems یا IDS) ابزاری هستند که می‌توانند نفوذهای مشکوک، حملات سایبری و فعالیت‌های غیرمجاز را در شبکه شناسایی کنند.

یکی از محبوب‌ترین سیستم‌های IDS متن‌باز، Suricata است که به دلیل قابلیت‌های بالا، سرعت پردازش زیاد و پشتیبانی از پروتکل‌های مختلف، در شبکه‌های کوچک و بزرگ استفاده می‌شود. Suricata می‌تواند به صورت Network-based IDS (NIDS) یا Host-based IDS (HIDS) عمل کند و با سیستم‌های دیگر مانند Snort rules نیز سازگار است.

Suricata یک IDS متن‌باز و قدرتمند است که با نصب و پیکربندی صحیح روی لینوکس، می‌تواند شبکه شما را در برابر حملات مختلف محافظت کند. مراحل کلیدی شامل:

  1. نصب Suricata روی توزیع مورد نظر.

  2. پیکربندی اینترفیس شبکه و مسیر قوانین.

  3. بروزرسانی قوانین IDS.

  4. راه‌اندازی سرویس و بررسی لاگ‌ها.

  5. بهینه‌سازی و فعال کردن حالت IPS برای مسدودسازی تهدیدها.

با رعایت این مراحل، یک سیستم تشخیص نفوذ قوی و قابل اعتماد در شبکه خود خواهید داشت.

نصب سیستم Intrusion Detection با Suricata روی لینوکس

در این مقاله، نصب Suricata روی Ubuntu/Debian و CentOS/RHEL را آموزش می‌دهیم.

نصب روی Ubuntu/Debian

  1. به‌روزرسانی مخازن:

sudo apt update && sudo apt upgrade -y

  1. نصب Suricata:

sudo apt install suricata -y

  1. بررسی نسخه نصب شده:

نصب روی CentOS/RHEL

  1. نصب EPEL و مخازن مورد نیاز:

sudo yum install epel-release -y sudo yum update -y

  1. نصب Suricata:

sudo yum install suricata -y

  1. بررسی نسخه نصب شده:

suricata -V

پیکربندی Suricata

پس از نصب، نیاز است که Suricata را پیکربندی کنید تا بتواند ترافیک شبکه را نظارت و تحلیل کند.

فایل اصلی پیکربندی

فایل پیکربندی اصلی Suricata در مسیر /etc/suricata/suricata.yaml قرار دارد. این فایل شامل تنظیمات مختلفی مانند اینترفیس شبکه، مسیر لاگ‌ها، قوانین IDS و تنظیمات پیشرفته است.

انتخاب اینترفیس شبکه

برای آنکه Suricata بتواند ترافیک شبکه را بررسی کند، باید اینترفیس صحیح شبکه را مشخص کنید.

  1. نمایش اینترفیس‌ها:

ip addr

  1. ویرایش فایل suricata.yaml و تنظیم اینترفیس:

af-packet: interface: eth0 cluster-id: 99 cluster-type: cluster_flow defrag: yes

توجه: نام اینترفیس را با اینترفیس شبکه خود جایگزین کنید، مثلاً ens33 یا eth0

بروزرسانی قوانین Suricata

Suricata برای شناسایی حملات به قوانین (Rules) نیاز دارد. این قوانین می‌توانند از منابع مختلفی مانند Emerging Threats (ET) دریافت شوند.

  1. دانلود قوانین:

sudo suricata-update

  1. فعال کردن قوانین در suricata.yaml:

default-rule-path: /var/lib/suricata/rules rule-files: suricata.rules

شروع و مدیریت Suricata

  1. شروع Suricata به صورت سرویس:

sudo systemctl start suricata sudo systemctl enable suricata

  1. بررسی وضعیت سرویس:

sudo systemctl status suricata

  1. اجرای Suricata در حالت خط فرمان برای تست:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

با این روش می‌توانید ترافیک شبکه را به صورت real-time مانیتور کنید.

بررسی و تحلیل لاگ‌ها

Suricata لاگ‌های خود را معمولاً در مسیر /var/log/suricata/ ذخیره می‌کند:

  • eve.json: شامل اطلاعات جامع درباره تهدیدها، لاگ‌های HTTP و DNS.

  • fast.log: شامل هشدارهای فوری و حملات شناسایی شده.

  • stats.log: آمار عملکرد Suricata.

برای مشاهده هشدارها:

sudo tail -f /var/log/suricata/fast.log

نکات پیشرفته و بهینه‌سازی

  1. استفاده از mode IPS:

    • Suricata می‌تواند به جای فقط تشخیص، حملات را مسدود کند.

    • نیاز به تنظیم nfqueue در فایل suricata.yaml دارد.

  2. مانیتورینگ با ابزارهای دیگر:

    • لاگ‌ها را می‌توان به Kibana یا Elasticsearch ارسال کرد تا داشبورد گرافیکی داشته باشید.

  3. بروزرسانی منظم قوانین:

    • حملات جدید هر روز اضافه می‌شوند، بنابراین Suricata-update را به صورت دوره‌ای اجرا کنید.

دسته بندی ها , برچسب

اشتراک‌گذاری در :

دیدگاهها

هیچ دیدگاهی برای این محصول نوشته نشده است.

اولین نفری باشید که دیدگاهی را ارسال می کنید برای “پیکربندی و نصب سیستم Intrusion Detection با Suricata روی لینوکس”

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

درباره ما

 مرجع تخصصی شبکه ایران ؛ جایی که دانش، تجربه و منابع ارزشمند دنیای شبکه به زبان ساده و کاربردی در اختیار علاقه‌مندان، دانشجویان و متخصصان این حوزه قرار می‌گیرد.

Facebook Whatsapp Instagram

آخرین مطالب

دسترسی سریع

طراحی شده توسط تیم فوژان