Ağ güvenliğinin her şeyden önemli olduğu bir çağda, Derin Paket Denetimi (DPI) modern siber güvenliğin temel taşı haline gelmiştir. DPI, bir ağdan geçerken veri paketlerinin içeriğini analiz etmeyi içerir ve güvenlik ekiplerinin tehditleri tespit etmesine, politikaları uygulamasına ve uyumluluğu sağlamasına olanak tanır.
Bu yazıda, Linux tabanlı ağların güvenliğini sağlamak için DPI'dan yararlanan iki açık kaynaklı Saldırı Tespit Sistemi (IDS) ve Saldırı Önleme Sistemi (IPS) olan Snort ve Suricata'nın güçlü yapısını inceleyeceğiz. Bu sistemlerin özelliklerini, kurulumunu ve yapılandırmasını inceleyerek bu sistemleri nasıl etkin bir şekilde kullanabileceğinizi kapsamlı bir şekilde anlayacaksınız.
Snort gerçek zamanlı trafik analizi ve paket kaydı özellikleri sağlar. Linux'ta nasıl kurulacağı aşağıda açıklanmıştır:
Suricata, yüksek performansı ve çoklu iş parçacığı yetenekleriyle bilinir.
Bu yazıda, Linux tabanlı ağların güvenliğini sağlamak için DPI'dan yararlanan iki açık kaynaklı Saldırı Tespit Sistemi (IDS) ve Saldırı Önleme Sistemi (IPS) olan Snort ve Suricata'nın güçlü yapısını inceleyeceğiz. Bu sistemlerin özelliklerini, kurulumunu ve yapılandırmasını inceleyerek bu sistemleri nasıl etkin bir şekilde kullanabileceğinizi kapsamlı bir şekilde anlayacaksınız.
Derin Paket Denetimi (DPI) nedir?
Sadece başlıkları inceleyen geleneksel paket filtrelemenin aksine, DPI paketlerin yükünü ve başlık verilerini inceler. Bu sayede şunları yapar- Kötü amaçlı yazılımlar veya açıklardan yararlanma gibi kötü amaçlı payloadları tespit eder.
- Şifrelenmemiş içeriği inceleyerek uyumluluk ilkelerini uygulamak.
- Daha iyi ağ içgörüleri için ayrıntılı trafik analizi sağlar.
Neden Snort ve Suricata?
Hem Snort hem de Suricata, güçlü DPI yetenekleri için yaygın olarak kullanılmaktadır.Linux üzerinde Snort Kurulumu
Snort gerçek zamanlı trafik analizi ve paket kaydı özellikleri sağlar. Linux'ta nasıl kurulacağı aşağıda açıklanmıştır:
1. Güncelleme
sudo apt update && sudo apt upgrade -y
2. Bağımlılıkları Yükleyin
sudo apt install build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev -y
3. Snort'u İndirin ve Kurun
wget https://www.snort.org/downloads/snort/snort-2.9.x.tar.gz
tar -xvzf snort-2.9.x.tar.gz
cd snort-2.9.x
./configure && make && sudo make install
4. Yapılandırma Dizini Oluşturma
sudo mkdir /etc/snort
sudo cp etc/*.conf /etc/snort/
5. Snort'u IDS Modunda Başlatın
sudo snort -c /etc/snort/snort.conf -i eth0
Linux üzerinde Suricata Kurulumu
Suricata, yüksek performansı ve çoklu iş parçacığı yetenekleriyle bilinir.
1. Suricata Deposunu Ekleme
Kod:sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update
2. Suricata'yı Kurun
sudo apt install suricata -y
3. Suricata'yı Yapılandırma
Yapılandırma dosyasını ağ ortamınıza uyacak şekilde düzenleyin:sudo nano /etc/suricata/suricata.yaml
4. Suricata'yı IDS Modunda Çalıştırma
sudo suricata -c /etc/suricata/suricata.yaml -i eth0
Kuralları Yapılandırma
Kurallar, hangi trafik modellerinin kötü niyetli olarak kabul edileceğini tanımlar. Her iki araç da kural oluşturmak için benzer sözdizimi kullanır.Örnek Kural: HTTP Trafiğini Algıla
Snort ve Suricata aynı kural formatını paylaşmaktadır:
Kod:
alert tcp any any -> any 80 (msg:"HTTP traffic detected"; sid:100001; rev:1;)
- alert: Yapılacak eylem (örneğin, günlük, uyarı).
- tcp: İzlenecek protokol.
- any any -> any 80: Herhangi bir kaynaktan 80 numaralı bağlantı noktasına gelen trafiği eşleştir.
- msg: Açıklayıcı mesaj.
- sid: Benzersiz kural kimliği.
- rev: Kural revizyon numarası.
- Snort: /etc/snort/snort.rules
- Suricata: /etc/suricata/rules/local.rules
sudo systemctl restart snort
sudo systemctl restart suricata