IDS/IPS için Snort ve Suricata Kullanımı

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Ağ güvenliğinin her şeyden önemli olduğu bir çağda, Derin Paket Denetimi (DPI) modern siber güvenliğin temel taşı haline gelmiştir. DPI, bir ağdan geçerken veri paketlerinin içeriğini analiz etmeyi içerir ve güvenlik ekiplerinin tehditleri tespit etmesine, politikaları uygulamasına ve uyumluluğu sağlamasına olanak tanır.

Bu yazıda, Linux tabanlı ağların güvenliğini sağlamak için DPI'dan yararlanan iki açık kaynaklı Saldırı Tespit Sistemi (IDS) ve Saldırı Önleme Sistemi (IPS) olan Snort ve Suricata'nın güçlü yapısını inceleyeceğiz. Bu sistemlerin özelliklerini, kurulumunu ve yapılandırmasını inceleyerek bu sistemleri nasıl etkin bir şekilde kullanabileceğinizi kapsamlı bir şekilde anlayacaksınız.

Derin Paket Denetimi (DPI) nedir?​

Sadece başlıkları inceleyen geleneksel paket filtrelemenin aksine, DPI paketlerin yükünü ve başlık verilerini inceler. Bu sayede şunları yapar

  • Kötü amaçlı yazılımlar veya açıklardan yararlanma gibi kötü amaçlı payloadları tespit eder.
  • Şifrelenmemiş içeriği inceleyerek uyumluluk ilkelerini uygulamak.
  • Daha iyi ağ içgörüleri için ayrıntılı trafik analizi sağlar.

Neden Snort ve Suricata?​

Hem Snort hem de Suricata, güçlü DPI yetenekleri için yaygın olarak kullanılmaktadır.

Linux üzerinde Snort Kurulumu​

snort.jpeg


Snort gerçek zamanlı trafik analizi ve paket kaydı özellikleri sağlar. Linux'ta nasıl kurulacağı aşağıda açıklanmıştır:

1. Güncelleme​

sudo apt update && sudo apt upgrade -y

2. Bağımlılıkları Yükleyin​

sudo apt install build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev -y

3. Snort'u İndirin ve Kurun​

wget https://www.snort.org/downloads/snort/snort-2.9.x.tar.gz

tar -xvzf snort-2.9.x.tar.gz

cd snort-2.9.x

./configure && make && sudo make install

4. Yapılandırma Dizini Oluşturma​

sudo mkdir /etc/snort

sudo cp etc/*.conf /etc/snort/

5. Snort'u IDS Modunda Başlatın​

sudo snort -c /etc/snort/snort.conf -i eth0

Linux üzerinde Suricata Kurulumu​

suricata.jpeg


Suricata, yüksek performansı ve çoklu iş parçacığı yetenekleriyle bilinir.

1. Suricata Deposunu Ekleme​

Kod:
sudo add-apt-repository ppa:oisf/suricata-stable

sudo apt update

2. Suricata'yı Kurun​

sudo apt install suricata -y

3. Suricata'yı Yapılandırma​

Yapılandırma dosyasını ağ ortamınıza uyacak şekilde düzenleyin:

sudo nano /etc/suricata/suricata.yaml

4. Suricata'yı IDS Modunda Çalıştırma​

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

Kuralları Yapılandırma​

Kurallar, hangi trafik modellerinin kötü niyetli olarak kabul edileceğini tanımlar. Her iki araç da kural oluşturmak için benzer sözdizimi kullanır.

Örnek Kural: HTTP Trafiğini Algıla​

Snort ve Suricata aynı kural formatını paylaşmaktadır:

Kod:
alert tcp any any -> any 80 (msg:"HTTP traffic detected"; sid:100001; rev:1;)
  • alert: Yapılacak eylem (örneğin, günlük, uyarı).
  • tcp: İzlenecek protokol.
  • any any -> any 80: Herhangi bir kaynaktan 80 numaralı bağlantı noktasına gelen trafiği eşleştir.
  • msg: Açıklayıcı mesaj.
  • sid: Benzersiz kural kimliği.
  • rev: Kural revizyon numarası.
Bu kuralı yapılandırma dosyalarına ekleyin:

  • Snort: /etc/snort/snort.rules
  • Suricata: /etc/suricata/rules/local.rules
Kuralları düzenledikten sonra yapılandırmaları yeniden yükleyin:
sudo systemctl restart snort
sudo systemctl restart suricata

Pratik Kullanım Örnekleri​

1. Kötü Amaçlı Yazılım İletişimlerini Algılama​

Snort ve Suricata, yükleri inceleyerek güvenliği ihlal edilmiş sistemlerden gelen C2 (Komuta ve Kontrol) trafiğini tespit edebilir.

2. Gerçek Zamanlı İstismarları Önleme​

IPS modunda, her iki araç da kötü niyetli paketleri hedeflerine ulaşmadan önce engelleyebilir.

3. Kapsamlı Ağ Görünürlüğü​

Suricata, ağ akışları ve etkinliği hakkında zengin veriler sağlayan NSM yetenekleri sunar.
 
Geri
Üst