7 Ocak 2016 Perşembe

Suricata'nın Saldırı Trafiği Haricindeki Kayıtları Tutma(ma)sı

Suricata, beta sürümü ilk defa 2009 yılının Aralık ayında ve ilk kararlı sürümünün de 2010 yılının Temmuz ayında piyasaya sürülmüş olan açık kayaklı bir saldırı tespit/engelleme sistemi yazılımıdır. (http://suricata-ids.org) Suricata, OISF (Open Information Security Foundation) adlı bir sivil toplum kuruluşu tarafından geliştirilmiştir. (http://oisf.net)

Bu yazımızda Suricata'nın özelliklerine değinmeyeceğiz. Bu yazımızda değineceğimiz hususu aşağıya yazmaya çalıştım.

Suricata, -diğer tüm saldırı tespit sistemleri gibi- ağa gelip giden tüm trafiği dinleyecek şekilde ağ topolojisi üzerinde konumlandırılır. Saldırı tespit sistemleri, dinledikleri ağ trafiği içerisinde kendi saldırı imza veri tabanlarına (signatures) karşılık gelen trafikleri alarm (alert) oluşturacak şekilde bir kayıt (log) dosyasına yazarlar. Yani saldırıları kayıt (log) altına alırlar.
Suricata, dinlediği ağ trafiği içerisinde saldırı veri tabanıyla eşleşmeyen trafiği -yani saldırı haricindeki trafiği- de bir kayt (log) dosyasına yazabilir. Yani ağa gelip giden tüm trafiği dinliyor ve sizin seçmiş olduğunuz protokole göre bu trafiği de kayıt (log) altına alabiliyor. Örneğin herhangi bir saldırı örüntüsü içermeyen; SSH (TCP 22), HTTP (TCP 80), NTP (UDP 123), SMTP (TCP 25),... gibi trafikleri de kayıt altına alabilmektedir. Suricata bu kayıtları "json" kayıt formatında tutabilmektedir. Bu kayıt dosyasının varsayılan (default) ismi “eve.log”dur. (/var/log/suricata/eve.log)
Saldırı olmayan trafiğin kayıtlarını (log) tutmak istemiyorsak Suricata'nın yapılandırma (konfigürasyon) dosyası olan suricata.yaml dosyasının içeriğinde değişiklik yapmamız gerekmektedir. suricata.yaml dosyası içerisinde "app-layer" başlığı altındaki parametreler, saldırı örüntüsü içermeyen ağ trafiğinin dinlenmesini sağlamaktadır.
Aşağıda örnek bir suricata.yaml dosyasının "app-layer" başlığı altındaki bazı parametre değerleri gösterilmektedir. Aşağıdaki örnekte Suricata saldırı tespit sisteminin sadece SMB trafiğini eve.json isimli kayıt (log) dosyasına kaydetmesi sağlanmıştır. Bunun haricinde kalan hiçbir trafik kayıt (log) dosyasına kaydedilmemektedir. Sadece imza veri tabaındaki saldırılara karşılık gelen saldırı kayıtları (log) ve SMB trafiği kayıt (log) altına alınmaktadır.
**********
app-layer altında yapılan değişiklikler aşağıda açıklanmıştır:
  
-app-layer:
--protocols:
---tls:
----enabled: no (HTTPS trafiğinin kaydı engellenmiştir.)
----detection-ports:
-----dp: 443
---dcerpc:
----enabled: no (DCE/RPC trafiğinin kaydı engellenmiştir.)
---ftp:
----enabled: no (FTP trafiğinin kaydı engellenmiştir.)
---ssh:
----enabled: no (SSH trafiğinin kaydı engellenmiştir.)
---smtp:
----enabled: no (SMTP trafiğinin kaydı engellenmiştir.)
---imap:
----enabled: no (IMAP trafiğinin kaydı engellenmiştir.)
---msn:
----enabled: no (MSN trafiğinin kaydı engellenmiştir.)
---smb:
----enabled: yes (SMB trafiğinin kaydına izin verilmiştir.)
----detection-ports:
-----dp: 139
**********
Suricata ile ilgili olarak şimdilik bu kadar. Yukarıda yazdığım özelliği bulmak biraz vaktimi aldığı için çözümü paylaşmak istedim.