業務用エアコン関連の技術情報、エラーコード、環境問題対策に関する別サイト「エアコンの安全な修理・適切なフロン回収」

OracleLinux10.0 : SURICATA インストール

 Suricata

SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。

1.事前準備

2.Suricata のインストールと設定

①Suricata のインストール

②Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定

③設定ファイルを編集

※プロセスを再起動することなく、SURICATAプロセスにルールセットの再ロードをするには次のコマンドを実行する

④Suricataのルール更新

出力の最後に、読み込まれたルールの数が表示される
利用可能 enabled: 60201 追加 added: 44599;

⑤Suricataの起動

⑥Suricataの起動確認

ログを確認

統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)

より高度な出力であるEVE JSONは、以下のコマンドで生成することができる

3.Suricata のテスト

①curl ユーティリティで ping テストを実行

②ログに記録されたかどうかを調べるため、アラートログを確認
curlリクエストに対応する/var/log/suricata/fast.logのログエントリを確認するには、grepコマンドを使用します。2100498ルール識別子を使用して、以下のコマンドを使用してそれに一致するエントリを検索します:

4.Suricata Rulesの設定

①Suricataにパッケージされているルールセットの表示

②ルールセットを提供するソースのインデックス一覧

③ソースを有効にする(tgreen/huntingを有効にする場合)

アップデートを実行

Suricata service再起動

5.Suricata Custom Rulesの作成

①カスタマールールを含むファイルを作成

②設定ファイルを編集(新しいルールのパスを定義)

 ③設定ファイルのテスト

Suricat service再起動

④Custom Rulesの適用テスト
同一ローカルネットワーク上の別のデバイスでpingを実行し、ログに記録されたかどうかを確認する

JSON形式のログを取得するには、システムにjqをインストールする

下記コマンドを実行し、同一ローカルネットワーク上の別のデバイスでpingを実行する

6.IPSモードに切り替え

SURICATA再起動

IPS モードでトラフィックを処理するように Suricata を設定したので、着信パケットを Suricata に向ける。Suricataに必要なルールをFirewalldに追加するには、以下のコマンドを実行する

SSHトラフィックでない残りのトラフィックをすべてSuricataに送って処理させる。

7.無効なトラフィックのテスト

/var/lib/suricata/rules/suricata.rules ファイルでドロップアクションを使用するルールを見つけて編集します。
シグネチャsid:2100498にマッチするパケットをドロップするように修正されています。
シグネチャをリロードさせる

curlを使ってこのルールをテストする

上記のようにリクエストがタイムアウトしたというエラーが表示されるはずですが、これはSuricataがHTTPレスポンスをブロックしたことを示しています:

SuricataがHTTPレスポンスをドロップしたことは、jqを使ってeve.logファイルを調べることで確認でき.

次のような出力が出る

タイトルとURLをコピーしました