【简介】
数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获,可以分析网络中是否存在任何有害入侵或漏洞,Suricata 就是这样的一种开源工具,它是一个 IDS 引擎,可使用规则集来监视网络流量,每当出现可疑事件时,它会触发警报。 Suricata 提供多线程引擎,意味着它能够以更高的速度和效率执行网络流量分析,在本文中将会介绍到如何在 Azure VM 中使用Suricata来对网络进行入侵检测,同时并根据Suricata中给定的威胁规则匹配的数据包出发报警,以此达到实时安全威胁监测。
【操作步骤】
一.创建Azure VM Ubuntu
1.配置基本的Azure VM信息(包括订阅、资源组、实例详细信息,管理员账号及入站端口规则),具体配置如下所示:
2.配置磁盘信息(配置相关磁盘类型及加密类型)具体配置如下所示:
3.配置网络接口信息(虚拟网络、子网、公网IP、公共出入站端口等)具体配置如下所示:
4.配置监视和管理
5.查看并创建虚拟机
6.部署完成以后,可点击直接“转到资源”
7.如下图所示可以看到虚拟机资源管理页面
二.远程连接Azure VM Ubuntu
1.使用SSH远程连接命令连接到Azure VM 中,具体操作步骤如下所示:
三.下载安装 Suricata
1.使用Apt命令下载Suricata
sudo add-apt-repository ppa:oisf/suricata-stable
2.使用apt update 的命令进行更新
sudo apt update
3.使用apt install 安装suricata jq
sudo apt install suricata jq
安装过程如下图所示:
4.安装完成后,使用sudo suricata --build-info命令来看Suricata 版本
sudo suricata --build-info
具体版本信息如下图所示
四.Suricata基本配置
1.使用Ip a
命令 检查 Suricata 在哪个接口上运行以及该接口的 IP,具体如下所示
2.查看suricata.yaml配置文件
suricata.yaml配置文件里很多的配置项目,我们主要关注HOME_NET变量的设置和网络接口的配置及Af-packet配置,如下是Af-packet配置详情
四.下载 Emerging Threats 规则集
1.目前,我们尚未创建运行 Suricata 所需的任何规则。 如果想要检测特定的网络威胁,可以创建自己的规则,本文使用可免费访问的 Emerging Threats 规则集,如下图所示,我们使用如下命令下载该规则集
wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz
2.下载完毕以后对其tar.gz文件进行解压缩
3.解压缩完毕以后,并将其复制到目录rules中
4.如下图是下载解压并复制到rules目录中文件
五.使用 Suricata 处理数据包捕获
1.安装规则后,Suricata 可以正常运行,我们对其进行重新启动下:
sudo systemctl restart suricata
2.我们执行如下命令,来对suricata的日志进行滚轮触发
sudo tail -f /var/log/suricata/fast.log
3. 我们在服务器中使用Curl 命令请求下地址进行验证
curl http://testmyids.com/
curl http://www.baidu.com/
4.如下图所示,我们在日志中看到以下包括时间戳和系统的 IP的访问记录输出
六.结语
届时我们已经完成了在Azure VM 中快速搭建网络入侵检测 (IDS) 及网络安全监视 (NSM)实践操作,接下来,我们可以全面使用Suricata来对网络进行入侵检测,同时并根据Suricata中给定的威胁规则匹配的数据包出发报警,以此达到实时安全威胁监测!