HOWTO: SmoothSec 3.2 (beta) como sistema de prevención de intrusiones (IPS)

Voy a decirte cómo construir un Sistema affortable prevención de intrusiones (IPS) en el hogar o SOHO o pequeña empresa. Con la configuración predeterminada de Suricata, el rendimiento de SmoothSec no es muy bueno para ver Youtube (360p) con el siguiente hardware. Sin embargo, cuando se sintoniza, se puede ver el Youtube de hasta 720p de resolución con el siguiente hardware a través de conexión a internet de 10Mb. Sí, sigue siendo inferior, pero se puede ver. Tenga también en cuenta que la conexión también está detrás de un router (Desenredar con la misma placa base, CPU y RAM)

Hardware

Tarjetas Madre -. Intel Desktop Board D510MO
RAM – 4GB DDR2 (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 – Onboard Gigabit
Tarjeta de red 1 – TP-Link TG-3269 PCI Gigabit Adaptador de red (con perfil bajo)
Tarjeta de red 2 – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)

Software

Sistema operativo – SmoothSec 3.2 beta (64-bit). La versión beta ya no es existir. Por favor, vaya a la página oficial de la versión 3.2. La versión beta y la versión oficial son iguales. El sitio oficial es en aquí

Configuración

Internet -. Router - SmoothSec - Conmutador - Computadoras Personal

Tarjeta de red 0 y 1 se puentean para arriba mientras que la tarjeta de red 2 será una interfaz de administración

Paso 1:.

En primer lugar, SmoothSec (tarjeta de red 2) está conectado al conmutador mientras la tarjeta de la red 0 y 1 no se conectan al router. Es porque es necesario para conectarse a Internet para la instalación

Paso 2 (Modo IDS):.

Instalar SmoothSec como de costumbre. Cuando le pedirá instalar firmware no libre de interfaz de red, simplemente lo ignoran. Después de instalado, el cuadro será reinicio.

Entrar como «root » con la contraseña « Toor «.

Paso 3 (Corrección de errores):

Suricata

nano / etc / suricata / suricata.yaml

Localizar « - rápido: » y el cambio « habilitado: no » a « habilitado: sí «

Localizar.» - caída: «y el cambio» habilitado: no «a» habilitado: sí «

Localizar.» HOME_NET : '[192.168.1.0/24]' «y cambie a» HOME_NET : '[192.168.0.0/24]' «.

* o su subred.

zona horaria para Snorby

Si su zona horaria no es UTC, debe ejecutar el siguiente comando:

dpkg-reconfigure tzdata

Ajuste el huso horario para " UTC "en" Ninguno de lo anterior ";. de lo contrario, el Snorby será informado timestamp mal

nano / var / www / snorby / config / snorby_config. yml

Asegúrese de que " producción: " y "timezone_search : false ".

Asegúrese "time_zone : 'UTC' .". Se comenta
Configurar su zona horaria en la interfaz web Snorby cuando esté disponible después del paso 5

función de correo electrónico de Snorby

apt-get install sufijo libxrender-dev libfontconfig1

Configure el Postfix adecuadamente de acuerdo a tu red en " / etc / postfix / main.cf ".

nano / var / www / snorby / config / inicializadores / mail_config.rb

Elimine el comentario de las líneas justo debajo de " # Sendmail Ejemplo: "

Paso 4:.

Tarjeta Connect Network 0 al router y la tarjeta de red 1 a Switch.

normalmente, tarjeta de red 0 será eth0, Tarjeta de Red 1 será eth1 y tarjeta de red 2 será eth2.
nano / etc / network / interfaces

Comentario trata eth2 entradas.

Añada la siguiente:

auto eth2
del iface eth2 inet static
dirección 192.168.0.120
; netmask 255.255.255.0
gateway 192.168.0.1

* donde "dirección " es su SmoothSec IP la dirección y el "gateway " es la dirección IP de su router.

nano / etc / init.d / puente

Cambiar " net1 = eth1 " a " net1 = eth0 "
Cambiar " net2 = eth2 " a " net2 = eth1 "
Cambiar" brctl addif $ br eth1 "a" brctl addif $ br eth0 "
Cambiar" addif brctl $ eth2 br «a» brctl addif $ br eth1 «

impagos puente update-rc.d

Paso 5:.

Ejecute el script « smoothsec.first.setup » en la terminal

Tipo « br0 » al pedir interfaz de red monitor.

Seleccione « Snort » o « Suricata "como IDS Engine. Elijo " Suricata ".

A continuación, reinicie.

Una vez que arranque, vaya a uno de los ordenadores personales y busque "https :/ / 192.168.0.120 ". A continuación, establezca la zona horaria y su dirección de correo electrónico que informe en consecuencia

Paso 6 (modo de IPS):.

Asegúrese de que su máquina está corriendo en el IDS modo por lo menos durante un día y luego haga lo siguiente para cambiar al modo de IPS (modo en línea). De lo contrario, Snorby no puede capturar el tráfico.

Suricata

nano / etc / suricata / suricata.yaml

Localizar " regla-archivos: " y añadir " - local.rules " en " - emerging.rules ".

cd / etc / suricata / rules

tocar local.rules

* usted puede agregar sus reglas en " local.rules ". Una vez que se añade, es necesario reiniciar el suricata:

Localizar " NFQ: " y elimine los comentarios de todos los artículos en la sección, pero excepto " # fail-open : sí. ", ya que requiere un núcleo Linux versión 3.6 o superior

/ etc / init.d / suricata reinicio

* tienes que esperar por varios minutos antes de que el cuadro se puede conectar a Internet.

pulledpork

nano / etc / pulledpork / suricata / dropsid.conf

Añada la siguiente:

pcre: EM (0 [0-9] | 1 [0 -9] - d +, bugtraq: d +, cve: 20 [0-9] [0-9] - d +

* dejar caer todas las vulnerabilidades en los reportes de vulnerabilidades.

IPtables

Añada las siguientes líneas de arriba "exit 0 " en " / etc / rc. locales ":

nano / etc / rc.local

iptables-A INPUT-i br0-j NFQUEUE - La cola de balance 0:3
iptables-A OUTPUT-o br0-j NFQUEUE - cola de balance 0:3
iptables - A FORWARD-i br0-o br0-j NFQUEUE -. cola de balance 0:3

* note que tengo CPU Quard-core Si tiene 8 núcleos, " -. cola-equilibrio "será" 0:7 "

Suricata script de arranque

nano / etc / init.d / suricata

Localizar " / usr / local / bin / Suricata - usuario suricata-c / etc / suricata / suricata.yaml-i $ INTERFACES-D "

Reemplazar con" / usr / local / bin / Suricata - usuario suricata-c / etc / suricata / suricata. YAML-q0-q1-q2-q3-D "

Localice" / usr / local / bin / pocilga-c local / etc / pocilga / suricata.pigsty . config.js-i $ INTERFACES-n 'Suricata'-d / var / log / suricata / m unified2.alert. *-D "

Reemplazar con" / usr / local / bin / pocilga-c local / etc / pocilga / suricata.pigsty.config.js-i br0-n 'Suricata'-d / var / log / suricata / m unified2.alert. *-D "

* asegúrese de hacerlo dos veces, ya que hay 2 entradas en el archivo.
** si tiene CPU de 8 núcleos, será" -q0-q1-q2-Q3-Q4-Q5-Q6-q7 ".

A continuación, reinicie su máquina. Tenga en cuenta que usted está obligado a esperar varios minutos antes de que usted puede conectarse a Internet

Paso 7:.

Para actualizar SmoothSec, que tiene que hacer los siguientes comandos (se puede hacer un script para . hacerlo) Las normas se actualizarán automáticamente en la madrugada todos los días

apt-get update
apt-get dist-upgrade
apt-get. - purga autoclean
apt-get - purge autoremove
# update SmoothSec
cd / root / updates /
origen git pull maestro
# update Snorby
cd / var / www / snorby
origin master git pull
snorby rake: update
cd ~
pocilga # update
npm actualizar-g pocilga
npm update-g pocilga-mysql
# update Suricata gobierna
smoothsec.suricata.rules.update

Paso 8 (Suricata sintonía):

nano / etc / suricata / suricata.yaml

Cambiar " max-pendiente-paquetes: 1024 " . a "max-pendiente-paquetes : 65000 "

Localizar " detectar motor " y el cambio " - Perfil: media "a" - Perfil: alta "

Localizar." mpm-algo: ac "e insertar" detectar- engine.sgh-mpm-contexto: full "arriba" mpm-algo:.. ac "

A continuación, reinicie el Suricata Por favor, espere unos minutos antes de puede conectarse a Internet.

/ etc / init.d / suricata reinicio

Problema conocido

(1) Usted debe recordar que el cuadro se encuentra en la zona horaria UTC.
(2) Es posible que tenga que deshabilitar la regla ( 1:2100527 ), que es de la misma dirección de exploración / conexión IP, en " / / pulledpork / suricata / disablesid.conf , etc." Después de eso, asegúrese de que se reinicia el Suricata.
( 3) Si utiliza otro patrón de coincidencias, como b2g, b3g, wumanber, distintos de ac, tendrá más de 4 GB de RAM.
(4) El uso de corriente alterna como patrón de coincidencias con 4 GB de memoria con Intel Atom CPU D510, se encontrará con retraso mientras ve Youtube (resolución 720p) con cerca de 20.000 reglas activas.
(5) Si usted tiene una tarjeta gráfica nVidia (asegúrese de que ha instalado los controladores de nVidia y Cuda), puede compilar Suricata con la bandera " - enable-nfqueue - enable-cuda" " / / suricata / suricata.yaml , etc" y configurar con " mpm-algo: b2g_cuda . "Por favor, tenga en cuenta que usted debe tener más de 4 GB de memoria. y el entorno es similar o igual al anterior.

Depurar la función de correo

No ejecute los siguientes comandos a menos que usted realmente necesita.

cd / var / www / snorby

bundle exec c rieles producción
Snorby :: Empleos :: SensorCacheJob.new (true). realizar
Snorby :: Empleos :: DailyCacheJob.new (true). realizar (este comando es válido para la versión 2.6.2)

Referencia

Snorby GitHub
Suricata
SmoothSec
Pocilga
Suricata Performance Tuning
SmoothSec WiKi -. para la instalación

Eso es todo Nos vemos