Suricata Kurallarının Oinkmaster ile Yönetimi
IDS kurallarını indirip krumak yerine bu işi daha kolay ve hızlı yapabilmek mümkün. Pulled Pork ve Oinkmaster gibi programlar ile bu işi otomatik olarak yapabilirsiniz.
Oinkmaster kurulumuna başlamak için:
sudo apt-get install oinkmaster
Internetten indirebileceğini birçok kural seti bulunmakta, bu kurulumda Emerging Threats (ET) kurallarını kullanacağız.
Oinkmaster IDS kurallarını nereden indireceğini bilmeli;
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
oinkmaster.conf dosyasını açarak aşağıdaki satırı ilave ediniz:
sudo nano /etc/oinkmaster.conf
# Emerging Threats kurallarinin indirilecegi adres
url=http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Sonra, /etc/suricata altında “rules” adında yeni bir klasör oluşturulmalı:
sudo mkdir /etc/suricata/rules
Kuralların bu klasöre indirilebilmesi için:
cd /etc
sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
/etc/suricata/rules klasörüne classification.config ve reference.config dosyaları bulunmaktadır. Bu dosyaların klasörleri suricata.yaml dosyasında güncellenmelidir.
sudo nano /etc/suricata/suricata.yaml
classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config
Herşeyin yolunda olduğunu kontrol etmek için Suricata’yı çalıştırınız:
suricata -c /etc/suricata/suricata.yaml -i wlan0 (or eth0)
Çalıştırdıktan sonra şu hatayı alırsanız;
<Warning> – [ERRCODE: SC_ERR_NOT_SUPPORTED(225)] – Eve-log support not compiled in. Reconfigure/recompile with libjansson and its development files installed to add eve-log support.
Önce http://www.digip.org/jansson/releases/ adresinden en son Jansson paketini indiriniz sonra aşağıdaki komutları çalıştırınız:
bunzip2 -c jansson-2.7.tar.bz2 | tar xf –
cd jansson-2.7
./configure
make
make check
make install
autoreconf -vi
Suricata’yı durdurmak için ctrl+c kullanabilirsiniz.
Emerging Threats, Suricata’da yer alandan daha fazla kural içermektedir. İdirilen kuralları görmek için:
ls /etc/suricata/rules/*.rules
İsterseniz “suricata.yaml” dosyasında yer almayan kuralları bu dosyaya ekleyebilirsiniz.
sudo nano /etc/suricata/suricata.yaml
Bir kuralı inaktif yapmak için kural satırının önüne # eklediğinizde, bu kural Oinkmaster tekrar çalıştırıldığında tekrar aktif olur.
Bu nedenle önce aşağıdaki klasörden kuralın SiD bilgisini öğrenmelisiniz.
cd /etc/suricata/rules
Sonra da “oinkmaster.conf” dosyasının sonuna “dissabled sidnumber” eklemelisiniz:
sudo nano /etc/oinkmaster.conf
disablesid 2010495
/etc/suricata/rules klasöründe birçok kural seti bulunmaktadır, örneğin:
sudo nano /etc/suricata/rules/emerging-malware.rules
Kuralları Güncellemek için
sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
Kaynak: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster