Suricata Kurallarının Oinkmaster ile Yönetimi

tarihinde gönderilmiş tarafından

IDS kurallarını indirip krumak yerine bu işi daha kolay ve hızlı yapabilmek mümkün. Pulled Pork ve Oinkmaster gibi programlar ile bu işi otomatik olarak yapabilirsiniz.

Oinkmaster kurulumuna başlamak için:

sudo apt-get install oinkmaster

Internetten indirebileceğini birçok kural seti bulunmakta, bu kurulumda Emerging Threats (ET) kurallarını kullanacağız.

Oinkmaster IDS kurallarını nereden indireceğini bilmeli;

http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

oinkmaster.conf dosyasını açarak aşağıdaki satırı ilave ediniz:

sudo nano /etc/oinkmaster.conf

# Emerging Threats kurallarinin indirilecegi adres

url=http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

Sonra, /etc/suricata altında “rules” adında yeni bir klasör oluşturulmalı:

sudo mkdir /etc/suricata/rules
Kuralların bu klasöre indirilebilmesi için:

 cd /etc

sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

/etc/suricata/rules klasörüne classification.config ve reference.config dosyaları bulunmaktadır. Bu dosyaların klasörleri suricata.yaml dosyasında güncellenmelidir.

sudo nano /etc/suricata/suricata.yaml

classification-file: /etc/suricata/rules/classification.config

reference-config-file: /etc/suricata/rules/reference.config
Herşeyin yolunda olduğunu kontrol etmek için Suricata’yı çalıştırınız:

suricata -c /etc/suricata/suricata.yaml -i wlan0 (or eth0)

Çalıştırdıktan sonra şu hatayı alırsanız;

<Warning> – [ERRCODE: SC_ERR_NOT_SUPPORTED(225)] – Eve-log support not compiled in. Reconfigure/recompile with libjansson and its development files installed to add eve-log support.
Önce http://www.digip.org/jansson/releases/ adresinden en son Jansson paketini indiriniz sonra aşağıdaki komutları çalıştırınız:

bunzip2 -c jansson-2.7.tar.bz2 | tar xf –

cd jansson-2.7

./configure

make

make check

make install

autoreconf -vi

Suricata’yı durdurmak için ctrl+c kullanabilirsiniz.

Emerging Threats, Suricata’da yer alandan daha fazla kural içermektedir. İdirilen kuralları görmek için:

ls /etc/suricata/rules/*.rules

İsterseniz “suricata.yaml” dosyasında yer almayan kuralları bu dosyaya ekleyebilirsiniz.

sudo nano /etc/suricata/suricata.yaml

Bir kuralı inaktif yapmak için kural satırının önüne # eklediğinizde, bu kural Oinkmaster tekrar çalıştırıldığında tekrar aktif olur.

Bu nedenle önce aşağıdaki klasörden kuralın SiD bilgisini öğrenmelisiniz.

cd /etc/suricata/rules
Sonra da “oinkmaster.conf” dosyasının sonuna “dissabled sidnumber” eklemelisiniz:

 sudo nano /etc/oinkmaster.conf

 disablesid 2010495
/etc/suricata/rules klasöründe birçok kural seti bulunmaktadır, örneğin:

 sudo nano /etc/suricata/rules/emerging-malware.rules


Kuralları Güncellemek için

sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

 

Kaynak: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster