Suricata: Manajemen Rule dengan Oinkmaster

Manajemen Rules dengan Oinkmaster

Dimungkinkan untuk mengunduh dan menginstal aturan secara manual, tetapi ada cara yang jauh lebih mudah dan lebih cepat untuk melakukannya. Ada program khusus yang dapat Anda gunakan untuk mengunduh dan memasang rules. Ada misalnya Pulled Pork dan Oinkmaster. Dalam dokumentasi ini akan dijelaskan penggunaan Oinkmaster.

Untuk menginstal Oinkmaster, masukkan:

sudo apt-get install oinkmaster

Ada beberapa rules. Ada misalnya Emerging Threats (ET) Emerging Threats Pro dan VRT. Dalam contoh ini kami menggunakan Ancaman yang Muncul. Oinkmaster harus tahu di mana rules itu bisa ditemukan. Rules ini dapat ditemukan di:

http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Buka oinkmaster.conf tambahkan link di atas,

sudo vi /etc/oinkmaster.conf

Letakan # di depan URL yang sudah ada, dan tambahkan URL yang baru. Contoh kita menggunakan rules dari emergingthreats.net,

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz

# Community rules and Snort 2.4.
url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-2.4.tar.gz

# Community rules for snort-CURRENT
url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-CURRENT.tar.gz

Langkah selanjutnya membuat directory untuk rules baru, ketik,

sudo mkdir /etc/suricata/rules

Selanjutnya, ketik,

cd /etc
sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

Edit konfigurasi suricata.yaml

sudo nano /etc/suricata/suricata.yaml

tambahkan directory rules yang baru. Cek apakah bisa jalan dengan baik,

suricata -c /etc/suricata/suricata.yaml -i wlan0 (atau eth0)

Anda akan melihat ada beberapa file aturan yang Suricata coba muat, tetapi tidak tersedia. Dimungkinkan untuk menonaktifkan kumpulan aturan tersebut di suricata.yaml dengan menghapusnya atau dengan meletakkan # di depannya.

Untuk menghentikan Suricata berjalan, tekan ctrl c.

Ancaman yang Muncul mengandung lebih banyak aturan daripada yang dimuat di Suricata. Untuk melihat aturan mana yang tersedia di direktori aturan Anda, masukkan:

ls /etc/suricata/rules/*.rules

Temukan yang belum ada di suricata.yaml dan tambahkan di yaml jika diinginkan.

Anda dapat melakukannya dengan memasukkan:

sudo nano /etc/suricata/suricata.yaml

Jika Anda menonaktifkan aturan di file aturan Anda dengan meletakkan # di depannya, itu akan diaktifkan lagi saat Anda menjalankan Oinkmaster lagi. Anda dapat menonaktifkannya melalui Oinkmaster sebagai gantinya, dengan memasukkan yang berikut ini:

cd /etc/suricata/rules

dan temukan sisi aturan yang ingin Anda nonaktifkan.

Selanjutnya masukkan:

sudo nano /etc/oinkmaster.conf

dan pergi ke akhir file.Ketik ID yang di disable seperti di bawah ini,

disablesid 2010495

Untuk multiple ID, bisa dilakukan dengan koma antar ID.

Jika Anda menjalankan Oinkmaster lagi, Anda dapat melihat jumlah aturan yang telah Anda nonaktifkan. Anda juga dapat mengaktifkan aturan yang dinonaktifkan secara default. Lakukan dengan memasukkan:

ls /etc/suricata/rules

Di direktori ini Anda dapat melihat beberapa kumpulan aturan Masukkan misalnya:

sudo nano /etc/suricata/rules/emerging-malware.rules

Dalam file ini Anda dapat melihat aturan mana yang diaktifkan dan mana yang tidak. Anda tidak dapat mengaktifkannya untuk jangka panjang hanya dengan menghapus #. Karena setiap kali Anda akan menjalankan Oinkmaster, aturan tersebut akan dinonaktifkan lagi. Daripada cari sisi aturan yang ingin Anda aktifkan. Tempatkan sid di tempat oinkmaster.config yang benar:

sudo nano /etc/oinkmaster.conf

Dengan cara menulis ID yang akan di aneble:

enablesid: 2010495

Juga di mungkin mengaktifkan multi-rules, dengan cara memberikan koma antar ID.

Di oinkmaster.conf Anda dapat mengubah aturan. Misalnya, jika Anda menggunakan Suricata sebagai inline/IPS dan Anda ingin mengubah aturan yang mengirimkan peringatan ketika cocok dan Anda ingin aturan tersebut membuang paket, Anda dapat melakukannya dengan memasukkan yang berikut ini:

sudo nano oinkmaster.conf

Di bagian di mana Anda dapat mengubah aturan, ketik:

modifysid 2010495 “alert” | “drop”

ID 2010495 hanya contoh. Masukan ID yang kita inginkan.

Rerun Oinkmaster perhatikan perubahan yang terjadi.

Updating rules

Jika Anda telah mengunduh kumpulan aturan (dengan cara yang dijelaskan dalam file ini), dan Anda ingin memperbarui aturan, masukkan:

sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

Disarankan untuk sering memperbarui rules Anda. Emerging Threat berubah setiap hari, VRT diperbarui setiap minggu atau beberapa kali seminggu.

Referensi

• https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster

Pranala Menarik

• Suricata
• Suricata (software)
• Suricata: Instalasi di Ubuntu
• Suricata: Instalasi di Ubuntu 18.04
• Suricata: Konfigurasi Minimal Ubuntu 18.04
• Suricata: Test DDoS Attack
• Suricata: Konfigurasi Dasar
• Suricata: Manajemen Rule dengan Oinkmaster
• Suricata: Instalasi Snorby & barnyard2