suricata

Suricata คือ อะไร ?

Suricata เป็น open source engine สำหรับ ดักตรวจ และป้องกันการโจมตีในระบบเครือข่าย รวมไปถึงการตรวจพฤติกรรมที่ไม่เหมาะสมในองค์กร (IDS/IPS - Intrusion Detection/Intrusion Prevention System) พัฒนาโดย Open Information Security Foundation

จุดเด่นของ Suricata คือ การทำงานแบบ multi-threaded ซึ่งส่งผลให้ทำงานได้เร็วในระบบที่มีหลายหน่วยประมวลผล (multi-processor/multi-core) อย่างในปัจจุบัน

หลาย ๆ ท่านที่ทำงานด้าน infosec อาจจะคุ้นเคยกับ open source engine อีกตัวหนึ่ง คือ Snort ซึ่งทำงานในลักษณะเดียวกัน เนื่องจาก Suricata ถูกสร้างโดยถอดแบบมาจาก Snort พร้อมกับแนวคิดในเรื่อง multi-threaded matching ที่เพิ่มเข้ามา ทำให้ Suricata สามารถที่จะใช้ข้อมูล และลักษณะการกำหนดค่าต่าง ๆ ได้คล้าย ๆ หรือแทบจะเหมือนกับ Snort ซึ่งถ้าใครเคยใช้ Snort มาก่อน น่าจะทดลอง Suricata ได้ไม่ยาก (สำหรับผม ไม่เคยใช้ทั้งคู่ ก็เลยต้องอ่านเอกสารเอาเองมากหน่อย)

สิ่งที่สำคัญที่สุดในระบบ IDS/IPS คือ ข้อมูล signature rules ซึ่งแต่ละการโจมตี หรือพฤติกรรมการใช้งาน จะมีรูปแบบที่ชัดเจน สามารถตรวจจับได้ เป็นข้อดีที่ Suricata ถอดแบบมาจาก Snort จึงสามารถใช้ Snort rules ได้ รวมถึง rules ที่ใช้กับ Suricata โดยตรงที่สามารถดาวน์โหลดมาติดตั้งเพิ่มได้จาก ET (emergingthreats.net) โดยที่เราสามารถจะเพิ่ม หรือแก้ไข rules ต่าง ๆ หรือเพิ่มข้อมูลเข้าไปตามความต้องการของเราได้ แต่ทว่า rules ก็มีข้อกำหนดสัญญาอนุญาต การแก้ไขหรือดัดแปลง เผยแพร่ หรือแม้แต่นำไปใช้ในเชิงการค้า ต้องตรวจสอบสัญญาอนุญาตให้ดีก่อน

ระบบที่จำเป็นสำหรับการติดตั้ง

    Creative Commons License ลิขสิทธิ์ของบทความเป็นของเจ้าของบทความแต่ละชิ้น
    ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ที่ยังไม่ได้ปรับแก้