samet sazak's blog.

Suricata kendi deyimleriyle açık kaynak bir “network threat detection engine” dir. Bu engine network trafiğini bazı kurallar ve imzalar kullanarak inspect(teftiş, denetlemek) eder ve izlememize yardımcı olur. Network monitoring ve threat detection gibi kavramlarla ilgilenler için açık kaynak dünyasında harika bir araçtır.

Bu yazımda kaynak olarak bir kaç önemli yer kullanacağım, bunlardan birisi Suricata’nın kendi dökümanları olan http://suricata.readthedocs.io/en/latest/ adresi ve Open Security foundation’ın wiki sayfası (https://redmine.openinfosecfoundation.org/projects/suricata/wiki) olacak.

Suricata’yı GNU/Linux üzerinde “pf_ring” (http://www.ntop.org/products/packet-capture/pf_ring/) veya af_packet ile birlikte oldukça performanslı bir şekilde Emerging Threats kurallarını kullanarak (yaklaşık 30bin kural) (https://rules.emergingthreats.net/) IDS(Intrusion Detection System) olarak kullanabilirsiniz. Gnu/Linux üzerinde kurulum için wiki sayfasında adım adım anlatımlar mevcut, ayrıca Kernel packet capturing hakkında şurada detaylı bir dökümantasyon mevcut. (https://home.regit.org/wp-content/uploads/2015/10/2015_kernel_recipes_capture.pdf)

Ben bu yazımda, bir adet default olarak kurulum yaptığım OpenBSD6.0’ı tercih edeceğim. OpenBSD’in tamamen güvenlik odaklı bir işletim sistemi olması ve kernel’ı pf(packet filter)’i hali hazırda içerisinde bulundurmasıyla bunu bir avantaj olarak görüyorum.

Adım 1: Suricata için gereksinimlerin kurulması

pkg_add gcc git libtool pcre jansson libmagic libyaml

pkg_add libnet-1.1.2.1p3v0 autoconf-2.69p2 automake-1.14.1p0

git clone --depth 1 git://phalanx.openinfosecfoundation.org/oisf.git cd oisf git clone --depth 1 https://github.com/OISF/libhtp.git -b 0.5.x

Adım 2 : Suricata kurulumu

export AUTOCONF_VERSION=2.69

export AUTOMAKE_VERSION=1.14

./autogen.sh

Autogen.sh tamamlandığında aşağıdakine benzer bir çıktı almanız gerekiyor, burada eğer hata alıyorsanız bu hataların, autoconf ve automake paketlerinin versiyon farklılıklarıdan olacağını bilmenizi isterim.(daha önce başıma geldi)

CPPFLAGS="-I/usr/local/include" CFLAGS="-L/usr/local/lib" ./configure --prefix=/usr/local --sysconfdir=/etc/ --localstatedir=/var/ make make install install-conf install-rules

Ufak bir süre bekleyerek, Suricata’yı kaynak kodudan derleyerek kurulum işlemimizi bitirmiş oluyoruz. 

suricata -V ile kontrol ediyoruz. This is Suricata version 4.0dev (rev 6585ac4)

Adım 3: Suricata’yı çalıştırmak ve Test Alarmı oluşturmak

Depodan çektiğimiz suricata versiyonu, 4.0 development sürümü. Şuanda stabil versiyon 3.2 aynı şekilde o versiyonu da build edebilirsiniz.

Kurulumu tamamladıktan sonra yapılacak ilk iş suricata.yml konfigurasyon dosyasını düzenlemek. Suricata’nın kurulumu kolaydır fakat tuning işlemi kurulacak topolojiye göre, üzerinde çalıştığı sunucunun performansına ve network’e göre düzenlenmesi gerekir.

EmergingThreats kurallarını “install-rules” yazarak kurmuş olduk. Konfigurasyon dosyası /etc/suricata/suricata.yml dizininde bulunuyor. Default olarak tanımlı bir konfigurasyon var. Şimdi en temel değişiklik, suricata’yı kullandığımız network interface’i belirlemek. Ben bir adet management interface’ine sahibim. Dinlemek istediğiniz interface’i Promisc moda alıp, suricata’nın sniff etmesini sağlayabilirsiniz.

/usr/local/bin/suricata -c /etc/suricata//suricata.yaml -i em0

em0 = management interface

all 3 packet processing threads, 4 management threads initialized, engine started.

‘Engine started’ yazısını gördüğümüz an itibariyle suricata çalışıyor demektir. Suricata’nın tüm logları /var/log/suricata altındadır, bunu isterseniz konfigurasyon dosyasından düzenleyebilirsiniz.

Şimdi 1 adet test kuralı girip, alarm üretiliyor mu test edelim. Suricata’ya kural yazmak gerçekten oldukça eğlenceli bir iştir. Anlaması kolay basit bir pattern’i vardır. Örneğin;

ICMP paketleri için 1 adet kural yazalım.

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Bu kuralı /etc/suricata/rules/local.rules dosyasına ekledim ve suricata.yml rules kısmında şu şekilde ekledim ve kaydettim;

Daha sonra suricata’yı tekrar başlatıyorum ve bir ICMP paketleri gönderiyorum.

ping 8.8.8.8

Şimdi, suricata’nın eve.json loguna tail -f ile baktığımda yazdığım kuralın tetiklenmiş olduğunu görüyorum.

tail -f /var/log/suricata/eve.json

Şimdilik suricata’yı çalıştırmış olalım ve bir adet kuralımızı tetiklemiş bulunalım. Tuning işlemini bir başka yazıyla daha detaylı bir şekilde anlatmak istiyorum. Oldukça detaylı ve sistem düzeyinde bilgi gerektiren bir konu. Benim de bu konu hakkında öğrenmem gereken tonlarca konu var:) 

Bu konuda yine en faydalı yer benim için Suricata’nın kendi dökümanları. Bakmak isteyenler için; https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_User_Guide

Suricata’nın en sevdiğim yönü ise log outputları, json olarak aldığımız eve.json dosyasını Elasticsearch, Logstash ve Kibana ile birleştirip daha sonra bu logları daha iyi analiz edebiliyoruz...

BSD ailesiyle yeni tanışıyor olmamdan ötürü yazıda yanlışlarım olabilir, eğer herhangi bir konuda düzeltme yapmak isterseniz lütfen bir mail atarak bildirin... 

Kullandığım kaynakları yazının içerisinde link olarak belirttim, son olarak kurulum için şuradaki script tercihten faydalandığımı belirtir, siz de kolayca kurulum yapabilirsiniz.

- https://gist.github.com/gretel/d8d19be5e0d9c2996355

Okuduğunuz için teşekkürler....

OpenBSD kurulumu sandığım kadar zor değilmiş, daha önceleri kişisel olarak kullandığım thinkpad x220 üzerinde FreeBSD kurup bir süre mate masaüstü ortamı ile birlikte kullanmıştım, çoğunlukla sunucu üzerinde koşması gerektiğini düşünülen BSD işletim sistemleri aslında masaüstünde gayet güzel kullanılabiliyor ve sanıldığını aksine o kadar da zor değil! OpenBSD, güvenlik odaklı bir işletim sistemi. Gnu/Linux dağıtımlarının aksine, herhangi bir GUI kurulum ortamına sahip değil. Daha samimi olan bir yolu tercih ediyor ve size sorular sorarak kurulumu başlatıyor.

Kurulumu adım adım anlatmayacağım ama bir şekilde daha önce bir gnu/linux dağıtımı kurmuş olanların çok rahat bir şekilde anlayacağını düşünüyorum. Çok fazla BSD tecrübem olmadığından ötürü, kurulum içerisinde yanlışlarım olabilir. (1 mail kadar uzağınızdayım.)

Adım 0: Usb belleğe yazdırmak

https://www.openbsd.org/ftp.html adresinden herhangi bir yansıya giderek, kendi mimarinize uygun olan imajı indirmeniz gerekiyor.

ben amd64 mimarisinde, openbsd6.0 sürümünü indirdim. Ulak net yansınını kullanabilirsiniz.

ftp://ftp.ulak.net.tr/pub/OpenBSD/6.0/amd64/install60.fs

Daha sonra bu install60.fs’i “dd” kullanarak usb belleğimize aşağıdaki gibi yazdırıyoruz.

# dd if=/location/install*.fs of=/dev/rsd6c bs=1m

Adım 2: Internet’e bağlanmak

Eğer kablolu kullanıyorsanız, OpenBSD size kullanmak istediğiniz interface’i soruyor ve DHCP üzerinden IP talep ediyor. Kablosuz kullanmak istiyorsanız; aşağıdaki şekilde Wifi bağlantısını gerçekleştirebilirsiniz.

ifconfig kullanarak bağlantıyı sağlayacağız.

# ifconfig -a # tüm interfaceleri görmenizi sağlar, kablolu ve kablosuz arayüzü görebilirsiniz. # ifconfig iwn0 up # # ifconfig iwn0 scan # wifi ssid’leri arıyoruz. # ifconfig iwn0 nwid wifi_adı wpakey wifi_parolası # bu şekilde ssid’e bağlanıyoruz. # dhclient iwn0 # ip talep ediyoruz.

Adım 3: Paket yansı(mirror) adresi belirlemek

Kurulumu tamamladıktan sonra OpenBSD’e giriş yaparak başlıyoruz. Paket kurabilmek için pkg_add kullanıyoruz, tıpkı debian’ın apt’si arch’ın pacman’i gibi fakat bundan önce bir yansı adresi belirlememiz ve bu PATH’i .profile içerisinde eklememiz gerekiyor. Aşağıdaki şekilde yansıyı .profile içerisine ekliyoruz.

$ echo "PKG_PATH=http://www.mirrorservice.org/pub/OpenBSD/6.0/packages/amd64/" >> .profile $ echo "export PKG_PATH" >> .profile $ cat .profile # kontrol et:)

Daha sonra pkg_add, pkg_delete, pkg_info, pkg_check gibi komutları kullanarak istediğimiz paket üzerinde işlem yapabiliriz. Ben aşağıdaki şekilde bir vim kurulumu yaptım.

pkg_add vim

Adım 4:  Masaüstü kurulumu

Bu kısımda xfce4 masaüstü ortamını ve slim login manager’ını kullandım.

pkg_add -v xfce xfce-extras slim

pkg size bazı paketlerin alternatifleri olduğunu ve hangisini seçmek istediğinizi sorabilir.

xfce ve slim kurulumu bittikten sonra; grafik login için /etc/rc.conf.local’ı düzenlememiz gerekiyor.

# # vim /etc/rc.conf.local multicast_host=YES            # dbus/avahi için apmd_flags="-A"               # apmd’i cihazı suspend edebilmeniz için ve daha iyi bir batarya kullanımı için aktifleştiriyoruz. pkg_scripts="messagebus slim" # messagebus diğer dağıtımlardan da alışık olduğumuz, maaüstü için gerekli bir takım ayarlarla ilgileniyor.

Daha sonra adduser kullanarak kendinize bir kullanıcı açıp, ev dizinininde .xinit dosyası içerisine:

exec ck-launch-session startxfce4

bunu yaparken root kullanıcısı olduğunuzu düşünüyorum, (dosyasının sahipliğini değiştirmek için chown samet:samet ~/home/samet/.xinit) düzenlemesini yapın. 

Daha sonra sistemi reboot ettiğinizde slim giriş sayfası sizi karşılıyor. Giriş yaptığınızda masaüstü ortamınız şöyle böyle hazır oluyor. 

Henüz sudo kurulumunu dahi yapmadık. sudo, firefox, pulseaudio ve benzeri diğer yazılımları kurmak için bir kaç döküman okuyarak çok rahat halledebilirsiniz. Burada ben openbsd’nin en azından intel ekran kartınız olduğunu ve buna ait bir driver’ı içerisinde bulundurduğunu göze alarak yazdım. Bu konuda sıkıntı yaşarsanız aşağıdaki driver’lara göz atmanızı tavsiye ederim.

xf86-video-intel

xf86-video-vesa

Karşılacağınız sorunlar belki firmware’ler olacaktır. Donanımınıza uygun driver’lar OpenBSD imajının içerisinde bulunmayabilir ve kullanamayabilirsiniz. Birazcık araştırarak, bu driver’ları nasıl yükleyebileceğinizi çok rahat bulabilirsiniz. 

Herhangi bir sorunda aşağıdaki mail adresinden bana ulaşabilirsiniz, elimden geldiğince yardımcı olmaya çalışırım.

[email protected]

Şuraya da bir adet screenshot ekleyeyim.

Kullandığım kaynaklar:

Keith Burnett, http://sohcahtoa.org.uk/openbsd.html

ftp://ftp.ulak.net.tr/pub/OpenBSD/6.0/amd64/

There’re some people who teach to people how to code or learn programming on youtube. I think these guys are so cool, they’re doing great jobs and they have knowledge of every subject of programming. I chose some of them and listed in my tumblog.

So here:

1. The New Boston

2. Derek Banas

3.MyCodeSChool

4.CodeGeek

5.DrapsTV

6.TheShellWave

7.CrashCourseCode

8.Sentdex

9.WildAcademy

10.VoidRealms

11.ProgrammingHelpOrg

12.ChiliTomatoNoodle

13.The Bad Tutorial

14. Komputez(Css and Html)

15. Patrick WashingtonDC(Java and C#)

16. LearnCode Academy(Web development)

17. Adam Khoury