CyberSec – SURICATA: hệ thống phát hiện và ngăn chặn xâm nhập dựa trên công nghệ mã nguồn mở


Giới thiệu: 

  • Là hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở
  • Suricata là công cụ IDS/IPS miễn phí, dựa trên luật để theo dõi lưu lượng mạng, đưa ra cảnh báo nếu có sự kiện bất thường xảy ra.
  • Được thiết kế để tương thích với các thành phần an ninh mạng trong hệ thống
  • Suricata là công cụ giám sát đa luồng, tăng tốc độ xử lý trong việc phân tích lưu lượng mạng

Thành phần chính của Suricata:

  1. Packet Decoder
  2. Preprocessor
  3. Detection Engine
  4. Output

Rules của Suricata:

  • Thành phần của một Rule:
  • Rule Header
  • Rule Options

  • Mô tả:
  • Rules Header
Action Protocol Src/Dst IP Port Direction
–          Alert

–           Log

–          Pass

–          Sdrop

–          Drop

–          IP

–          ICMP

–          External

–          Internal

–          Source IP

–          Destination IP

–          Vào

–          Ra

–          Vào <> ra

  • Rule Options
General Payload Non-payload Post-Detection
–          Cung cấp thông tin chung về rule nhưng không làm ảnh hưởng việc phát hiện –          Tìm kiếm dữ liệu bên trong payload của gói tin (content, offset, depth, distance…) –          Tìm kiếm dữ liệu trong phần non-payload của gói tin (ttl, ack, tos, id, dsize, flag…) –          Xảy ra khi một rule được kích hoạt , gồm các từ khóa (logto, session, resp, react, tag, …)

Mô hình triển khai:

Tham khảo chi tiết: https://suricata-ids.org/features/all-features/


Một số hình ảnh của buổi workshop được tổ chức ngày 17/12/2016

  • Chủ đề được thực hiện bởi lớp 25CCAN02,04 nghề An ninh mạng
  • Dưới sự hướng dẫn của thầy ThS. Hà Văn Cử – Chủ nhiệm CLB IT



 

Tin, bài: CLB IT