IDS/IPS için Snort ve Suricata Kullanımı

Hüseyin · 21 Kas 2024

Ağ güvenliğinin her şeyden önemli olduğu bir çağda, Derin Paket Denetimi (DPI) modern siber güvenliğin temel taşı haline gelmiştir. DPI, bir ağdan geçerken veri paketlerinin içeriğini analiz etmeyi içerir ve güvenlik ekiplerinin tehditleri tespit etmesine, politikaları uygulamasına ve uyumluluğu sağlamasına olanak tanır.

Bu yazıda, Linux tabanlı ağların güvenliğini sağlamak için DPI'dan yararlanan iki açık kaynaklı Saldırı Tespit Sistemi (IDS) ve Saldırı Önleme Sistemi (IPS) olan Snort ve Suricata'nın güçlü yapısını inceleyeceğiz. Bu sistemlerin özelliklerini, kurulumunu ve yapılandırmasını inceleyerek bu sistemleri nasıl etkin bir şekilde kullanabileceğinizi kapsamlı bir şekilde anlayacaksınız.

Derin Paket Denetimi (DPI) nedir?

Sadece başlıkları inceleyen geleneksel paket filtrelemenin aksine, DPI paketlerin yükünü ve başlık verilerini inceler. Bu sayede şunları yapar

Kötü amaçlı yazılımlar veya açıklardan yararlanma gibi kötü amaçlı payloadları tespit eder.
Şifrelenmemiş içeriği inceleyerek uyumluluk ilkelerini uygulamak.
Daha iyi ağ içgörüleri için ayrıntılı trafik analizi sağlar.

Neden Snort ve Suricata?

Hem Snort hem de Suricata, güçlü DPI yetenekleri için yaygın olarak kullanılmaktadır.

Linux üzerinde Snort Kurulumu

Snort gerçek zamanlı trafik analizi ve paket kaydı özellikleri sağlar. Linux'ta nasıl kurulacağı aşağıda açıklanmıştır:

1. Güncelleme

sudo apt update && sudo apt upgrade -y

2. Bağımlılıkları Yükleyin

sudo apt install build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev -y

3. Snort'u İndirin ve Kurun

wget https://www.snort.org/downloads/snort/snort-2.9.x.tar.gz

tar -xvzf snort-2.9.x.tar.gz

cd snort-2.9.x

./configure && make && sudo make install

4. Yapılandırma Dizini Oluşturma

sudo mkdir /etc/snort

sudo cp etc/*.conf /etc/snort/

5. Snort'u IDS Modunda Başlatın

sudo snort -c /etc/snort/snort.conf -i eth0

Linux üzerinde Suricata Kurulumu

Suricata, yüksek performansı ve çoklu iş parçacığı yetenekleriyle bilinir.

1. Suricata Deposunu Ekleme

Kod:
Kod:

sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update

2. Suricata'yı Kurun

sudo apt install suricata -y

3. Suricata'yı Yapılandırma

Yapılandırma dosyasını ağ ortamınıza uyacak şekilde düzenleyin:

sudo nano /etc/suricata/suricata.yaml

4. Suricata'yı IDS Modunda Çalıştırma

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

Kuralları Yapılandırma

Kurallar, hangi trafik modellerinin kötü niyetli olarak kabul edileceğini tanımlar. Her iki araç da kural oluşturmak için benzer sözdizimi kullanır.

Örnek Kural: HTTP Trafiğini Algıla

Snort ve Suricata aynı kural formatını paylaşmaktadır:

Kod:

alert tcp any any -> any 80 (msg:"HTTP traffic detected"; sid:100001; rev:1;)

alert: Yapılacak eylem (örneğin, günlük, uyarı).
tcp: İzlenecek protokol.
any any -> any 80: Herhangi bir kaynaktan 80 numaralı bağlantı noktasına gelen trafiği eşleştir.
msg: Açıklayıcı mesaj.
sid: Benzersiz kural kimliği.
rev: Kural revizyon numarası.

Bu kuralı yapılandırma dosyalarına ekleyin:

Snort: /etc/snort/snort.rules
Suricata: /etc/suricata/rules/local.rules

Kuralları düzenledikten sonra yapılandırmaları yeniden yükleyin:

sudo systemctl restart snort
sudo systemctl restart suricata

Pratik Kullanım Örnekleri

1. Kötü Amaçlı Yazılım İletişimlerini Algılama

Snort ve Suricata, yükleri inceleyerek güvenliği ihlal edilmiş sistemlerden gelen C2 (Komuta ve Kontrol) trafiğini tespit edebilir.

2. Gerçek Zamanlı İstismarları Önleme

IPS modunda, her iki araç da kötü niyetli paketleri hedeflerine ulaşmadan önce engelleyebilir.

3. Kapsamlı Ağ Görünürlüğü

Suricata, ağ akışları ve etkinliği hakkında zengin veriler sağlayan NSM yetenekleri sunar.

IDS/IPS için Snort ve Suricata Kullanımı

Daha fazla seçenek

Hüseyin

Üye

Derin Paket Denetimi (DPI) nedir?

Neden Snort ve Suricata?

Linux üzerinde Snort Kurulumu

1. Güncelleme

2. Bağımlılıkları Yükleyin

3. Snort'u İndirin ve Kurun

4. Yapılandırma Dizini Oluşturma

5. Snort'u IDS Modunda Başlatın

Linux üzerinde Suricata Kurulumu

1. Suricata Deposunu Ekleme

2. Suricata'yı Kurun

3. Suricata'yı Yapılandırma

4. Suricata'yı IDS Modunda Çalıştırma

Kuralları Yapılandırma

Örnek Kural: HTTP Trafiğini Algıla

Pratik Kullanım Örnekleri

1. Kötü Amaçlı Yazılım İletişimlerini Algılama

2. Gerçek Zamanlı İstismarları Önleme

3. Kapsamlı Ağ Görünürlüğü

IDS/IPS için Snort ve Suricata Kullanımı

Hüseyin

Üye

Derin Paket Denetimi (DPI) nedir?​

Neden Snort ve Suricata?​

Linux üzerinde Snort Kurulumu​

1. Güncelleme​

2. Bağımlılıkları Yükleyin​

3. Snort'u İndirin ve Kurun​

4. Yapılandırma Dizini Oluşturma​

5. Snort'u IDS Modunda Başlatın​

Linux üzerinde Suricata Kurulumu​

1. Suricata Deposunu Ekleme​

2. Suricata'yı Kurun​

3. Suricata'yı Yapılandırma​

4. Suricata'yı IDS Modunda Çalıştırma​

Kuralları Yapılandırma​

Örnek Kural: HTTP Trafiğini Algıla​

Pratik Kullanım Örnekleri​

1. Kötü Amaçlı Yazılım İletişimlerini Algılama​

2. Gerçek Zamanlı İstismarları Önleme​

3. Kapsamlı Ağ Görünürlüğü​

Derin Paket Denetimi (DPI) nedir?

Neden Snort ve Suricata?

Linux üzerinde Snort Kurulumu

1. Güncelleme

2. Bağımlılıkları Yükleyin

3. Snort'u İndirin ve Kurun

4. Yapılandırma Dizini Oluşturma

5. Snort'u IDS Modunda Başlatın

Linux üzerinde Suricata Kurulumu

1. Suricata Deposunu Ekleme

2. Suricata'yı Kurun

3. Suricata'yı Yapılandırma

4. Suricata'yı IDS Modunda Çalıştırma

Kuralları Yapılandırma

Örnek Kural: HTTP Trafiğini Algıla

Pratik Kullanım Örnekleri

1. Kötü Amaçlı Yazılım İletişimlerini Algılama

2. Gerçek Zamanlı İstismarları Önleme

3. Kapsamlı Ağ Görünürlüğü