Suricata: Manajemen Rule dengan Oinkmaster
Manajemen Rules dengan Oinkmaster
Dimungkinkan untuk mengunduh dan menginstal aturan secara manual, tetapi ada cara yang jauh lebih mudah dan lebih cepat untuk melakukannya. Ada program khusus yang dapat Anda gunakan untuk mengunduh dan memasang rules. Ada misalnya Pulled Pork dan Oinkmaster. Dalam dokumentasi ini akan dijelaskan penggunaan Oinkmaster.
Untuk menginstal Oinkmaster, masukkan:
sudo apt-get install oinkmaster
Ada beberapa rules. Ada misalnya Emerging Threats (ET) Emerging Threats Pro dan VRT. Dalam contoh ini kami menggunakan Ancaman yang Muncul. Oinkmaster harus tahu di mana rules itu bisa ditemukan. Rules ini dapat ditemukan di:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Buka oinkmaster.conf tambahkan link di atas,
sudo vi /etc/oinkmaster.conf
Letakan # di depan URL yang sudah ada, dan tambahkan URL yang baru. Contoh kita menggunakan rules dari emergingthreats.net,
# Example for rules from the Emerging Threats site (previously known as Bleeding Snort). url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Community rules and Snort 2.4. url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-2.4.tar.gz # Community rules for snort-CURRENT url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-CURRENT.tar.gz
Langkah selanjutnya membuat directory untuk rules baru, ketik,
sudo mkdir /etc/suricata/rules
Selanjutnya, ketik,
cd /etc sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
Edit konfigurasi suricata.yaml
sudo nano /etc/suricata/suricata.yaml
tambahkan directory rules yang baru. Cek apakah bisa jalan dengan baik,
suricata -c /etc/suricata/suricata.yaml -i wlan0 (atau eth0)
Anda akan melihat ada beberapa file aturan yang Suricata coba muat, tetapi tidak tersedia. Dimungkinkan untuk menonaktifkan kumpulan aturan tersebut di suricata.yaml dengan menghapusnya atau dengan meletakkan # di depannya.
Untuk menghentikan Suricata berjalan, tekan ctrl c.
Ancaman yang Muncul mengandung lebih banyak aturan daripada yang dimuat di Suricata. Untuk melihat aturan mana yang tersedia di direktori aturan Anda, masukkan:
ls /etc/suricata/rules/*.rules
Temukan yang belum ada di suricata.yaml dan tambahkan di yaml jika diinginkan.
Anda dapat melakukannya dengan memasukkan:
sudo nano /etc/suricata/suricata.yaml
Jika Anda menonaktifkan aturan di file aturan Anda dengan meletakkan # di depannya, itu akan diaktifkan lagi saat Anda menjalankan Oinkmaster lagi. Anda dapat menonaktifkannya melalui Oinkmaster sebagai gantinya, dengan memasukkan yang berikut ini:
cd /etc/suricata/rules
dan temukan sisi aturan yang ingin Anda nonaktifkan.
Selanjutnya masukkan:
sudo nano /etc/oinkmaster.conf
dan pergi ke akhir file.Ketik ID yang di disable seperti di bawah ini,
disablesid 2010495
Untuk multiple ID, bisa dilakukan dengan koma antar ID.
Jika Anda menjalankan Oinkmaster lagi, Anda dapat melihat jumlah aturan yang telah Anda nonaktifkan. Anda juga dapat mengaktifkan aturan yang dinonaktifkan secara default. Lakukan dengan memasukkan:
ls /etc/suricata/rules
Di direktori ini Anda dapat melihat beberapa kumpulan aturan Masukkan misalnya:
sudo nano /etc/suricata/rules/emerging-malware.rules
Dalam file ini Anda dapat melihat aturan mana yang diaktifkan dan mana yang tidak. Anda tidak dapat mengaktifkannya untuk jangka panjang hanya dengan menghapus #. Karena setiap kali Anda akan menjalankan Oinkmaster, aturan tersebut akan dinonaktifkan lagi. Daripada cari sisi aturan yang ingin Anda aktifkan. Tempatkan sid di tempat oinkmaster.config yang benar:
sudo nano /etc/oinkmaster.conf
Dengan cara menulis ID yang akan di aneble:
enablesid: 2010495
Juga di mungkin mengaktifkan multi-rules, dengan cara memberikan koma antar ID.
Di oinkmaster.conf Anda dapat mengubah aturan. Misalnya, jika Anda menggunakan Suricata sebagai inline/IPS dan Anda ingin mengubah aturan yang mengirimkan peringatan ketika cocok dan Anda ingin aturan tersebut membuang paket, Anda dapat melakukannya dengan memasukkan yang berikut ini:
sudo nano oinkmaster.conf
Di bagian di mana Anda dapat mengubah aturan, ketik:
modifysid 2010495 “alert” | “drop”
ID 2010495 hanya contoh. Masukan ID yang kita inginkan.
Rerun Oinkmaster perhatikan perubahan yang terjadi.
Updating rules
Jika Anda telah mengunduh kumpulan aturan (dengan cara yang dijelaskan dalam file ini), dan Anda ingin memperbarui aturan, masukkan:
sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
Disarankan untuk sering memperbarui rules Anda. Emerging Threat berubah setiap hari, VRT diperbarui setiap minggu atau beberapa kali seminggu.