Konfiguration und Betrieb von Suricata

Geregelter Verkehr

Andreas Herz

Wer das eigene Netz vor Angriffen schützen will, greift zu Intrusion-Detection- und -Prevention-Systemen. Soll so ein Produkt wenig kosten und viele Möglichkeiten für Einstellungen und Auswertungen bieten, eignet sich das freie Suricata.

Nach einem Überblick über Intrusion-Detection-Systeme (IDS) in iX 2/2017 [1] geht dieser Artikel auf Installation, Konfiguration und Betrieb des freien Suricata ein. Es arbeitet ebenfalls als Intrusion-Prevention-System (IPS) und Network Security Monitor (NSM). Dazu analysiert es den Netzverkehr und ermöglicht das Erkennen von Angriffen sowie unerwünschtem Traffic. Umfangreiche Konfigurationsoptionen eröffnen Administratoren einen tiefen Einblick in ihr Netz.

Zum Erkennen gefährlicher Pakete und Verbindungen nutzt Suricata gängige Signaturen; dieses System lässt sich durch Lua-Skripte erweitern. Unterschiedliche Ausgabeformate bieten Administratoren die Wahl beim Auswerten der Informationen. Um auch Geschwindigkeiten bis 100 GBit/s zu verarbeiten, ist Suricata auf Mehrkernprozessoren optimiert und nutzt spezialisierte Bibliotheken wie Intels Hyperscan. Das Programm lässt sich auf den meisten aktuellen Linux-Distributionen und BSD-Derivaten sowie macOS installieren, für Windows steht ein experimenteller Cygwin-Port bereit. Als Plattform eignet sich jede nicht zu alte x86- und ARM-Maschine, zu schwache Hardware dürfte jedoch zu Performanceproblemen führen.

Für die Installation von Suricata gibt es mehrere Wege. Dieser Artikel beschränkt sich auf das Übersetzen aus den Quellen, was das einfache Einbinden optionaler Features erlaubt. Für einige Linux-Distributionen stellen die Maintainer fertige Pakete bereit, von den Suricata-Entwicklern selbst gibt es sie für Ubuntu und Debian („Alle Links“, [a]). Die Installation der aktuellen stabilen Version 3.2.1 [b] auf einem Linux-System erfordert zunächst eine kurze Vorbereitung:

wget https://www.openinfosecfoundation.org/\
  download/suricata-3.2.1.tar.gz
tar -xvzf suricata-3.2.1.tar.gz
cd suricata-3.2.1
./configure

Suricata als Intrusion-Prevention-System

Suricata lässt sich nicht nur zum Aufspüren, sondern auch zum Verhindern von Angriffen nutzen. Ein solches IPS (Intrusion-Prevention-System) kann unter Linux entweder mit AF_PACKET oder dem iptables-Target NFQUEUE realisiert werden. Die AF_PACKET-Variante analysiert die Pakete direkt zwischen zwei Schnittstellen und leitet sie nur weiter, wenn keine Regel angeschlagen hat. Im Folgenden geht es um die NFQUEUE-Variante. Dabei arbeitet Suricata mit der Firewall zusammen und kann in den Netzverkehr eingreifen. Dazu muss auf dem System die passende Bibliothek installiert (zum Beispiel für Debian libnetfilter-queue-dev) und das configure für Suricata mit der Option --enable-nfqueue gelaufen sein.

Die iptables-Konfiguration darf keine Pakete einer zu analysierenden Verbindung filtern, bevor Suricata sie gesehen hat. Trotzdem kann es sinnvoll sein, unerwünschten Traffic auszusondern, um die Analyse auf den relevanten Bereich zu beschränken. Dafür bieten sich beim typischen Betrieb auf einem Gateway geeignete Einträge in der FORWARD-Chain an. Im folgenden Beispiel ist der Sprung zu Suricata (–j CHECK_IPS) in einer eigenen Chain eingebettet:

sudo iptables -N CHECK_IPS
sudo iptables -A FORWARD -j CHECK_IPS
sudo iptables -A CHECK_IPS -j NFQUEUE

Damit Suricata auf die Pakete zugreifen kann, muss man es an die Queue binden:

sudo suricata -q 0 \
  -c /usr/local/etc/suricata/suricata.yaml

Standardmäßig gibt NFQUEUE die Queue 0 vor. Mit --queue-balance 0:3 als zusätzlichem Parameter für –j NFQUEUE könnte man mehrere Queues spezifizieren, auf die Suricata mit –q 0 –q 1 –q 2 –q 3 zugreift. Das verbessert auf Mehrkernsystemen den Durchsatz. Zu bedenken ist, dass alle Pakete verworfen werden, wenn kein Programm auf die Queues zugreift. Das verhindert die Option --queue-bypass für –j NFQUEUE.

Damit Suricata den Verkehr aktiv beeinflussen kann, muss es geeignete Regeln geben. In den vorhandenen ist dazu alert in drop oder reject zu ändern. Mit drop verwirft man die Pakete nur, mit reject bekommt die Gegenstelle ein Reject als Antwort. Allerdings sollte man nicht alle Regeln pauschal konvertieren, da einige zum Beispiel das noalert-Keyword verwenden und lediglich sogenannte Flowbits senden, die in endgültigen Regeln zu einem Alarm führen.

Fehlermeldungen beim Aufruf von ./configure betreffen meist fehlende Pakete, die man per Paketmanager nachrüsten muss. Es bietet sich an, mit configure --help die Optionen anzuschauen, da nicht alle Funktionen von vornherein aktiviert sind. Informationen zum Einsatz von Suricata als IPS enthält der Kasten „Suricata als Intrusion-Prevention-System“.

Suricata mit allen Regeln installieren

Nach dem Aufruf von configure schließt

make
sudo make install-full

die Installation ab. Die zweite Zeile erstellt Standardkonfigurationsdateien, lädt die freien Regelsätze von EmergingThreats [c] herunter und aktiviert sie. Wer nur die Konfigurationsdateien hinterlegen möchte, benutzt make install-conf.

Listing 1: Suricata-Features (Auszug)

 Suricata Configuration:
  AF_PACKET support:                  yes
  PF_RING support:                    no
  NFQueue support:                    no
  Netmap support:                     no
  Unix socket enabled:                yes
  Detection enabled:                  yes
  LUA support:                        no
  Hyperscan support:                  no
  Suricatasc install:                 yes

Einen Überblick über die aktivierten Suricata-Features liefert sudo suricata --build-info. Neben der Version und Compiler-spezifischen Flags ist der in Listing 1 gezeigte Ausschnitt relevant. Hier steht das Linux-spezifische AF_PACKET für die aktivierte Paketaufzeichnung. Alternativ könnte man das von ntop entwickelte PF_RING verwenden. Aktiviert sind weiterhin die Kommunikation per Socket, die Detection Engine sowie einige Bibliotheken für Regeln und Signaturen. Auf FreeBSD wäre beispielsweise statt AF_PACKET der Netmap-Support eingeschaltet. Wer mit Lua definierte Regeln verwenden will, muss das explizit beim Kompilieren einschalten. Für aktuelle Intel-Systeme bietet sich die Hyperscan-Optimierung [d] an, für die dedizierte Pakete erforderlich sind, die man bei den meisten Distributionen von Hand installieren muss.

Damit Suricata den Netzverkehr untersucht, genügt der folgende Aufruf:

sudo suricata -i en0 -v \
  -c /usr/local/etc/suricata/suricata.yaml

Hier ist suricata.yaml die mitgelieferte Konfigurationsdatei (dazu später mehr), en0 die zu überwachende Schnittstelle, und –v liefert mehr Details über den Startprozess. Man erfährt so die Anzahl der verwendeten Prozessorkerne, Regeldateien samt enthaltener Signaturen und die Liste der aktivierten Ausgabeformate (hier fast.log, eve.json und stats.log). Erscheint die Meldung … engine started., ist Suricata aktiv.