 Snort ve Suricata IDS/IPS Sistem Kurumu
Siber güvenlik tehditlerinin artmasıyla birlikte, ağ trafiğinin izlenmesi ve kötü amaçlı aktivitelerin tespiti büyük önem kazanmıştır. Bu noktada Intrusion Detection System (IDS) ve Intrusion Prevention System (IPS) çözümleri, ağ güvenliğinin temel taşları haline gelmiştir. Snort ve Suricata, açık kaynak kodlu ve dünya çapında yaygın olarak kullanılan IDS/IPS yazılımlarıdır. Bu makalede, her iki sistemin temel farklarıyla birlikte, Debian/Ubuntu tabanlı sistemlere nasıl kurulup yapılandırıldıkları detaylı şekilde ele alınacaktır.
Snort Nedir?
Snort, Cisco tarafından geliştirilen açık kaynaklı bir ağ saldırı tespit sistemidir. Ağ trafiğini analiz ederek, imza tabanlı tehdit algılama yapar. Hem IDS hem de IPS olarak kullanılabilir.
Snort’un Temel Özellikleri
İmza tabanlı tespit
Gerçek zamanlı trafik analiz
Esnek kural yapısı
Log ve alarm üretimi
Suricata Nedir?
Suricata, Open Information Security Foundation (OISF) tarafından geliştirilen, çok çekirdekli işlemci desteğiyle yüksek performanslı bir IDS/IPS ve ağ analiz sistemidir. Snort kuralları ile uyumludur ama ek özellikler sunar.
Suricata’nın Ekstra Avantajları
Çok çekirdekli işlem gücü (multithreading)
Dahili trafik kayıt özelliği (PCAP)
Protokol tabanlı analiz (HTTP, TLS, DNS, SMB)
JSON log desteği (ELK stack uyumu)
Snort Kurulumu (Ubuntu/Debian)
1. Gerekli Paketlerin Yüklenmesi
sudo apt update
sudo apt install -y snort
Kurulum sırasında “ağ arayüzü” ve “log dizini” istenir. Genellikle eth0 ya da enp0s3 gibi arayüz adları kullanılır.
2. Snort'u Test Etme
sudo snort -T -c /etc/snort/snort.conf
3. Basit Kural Yazımı
echo 'alert icmp any any -> any any (msg:"Ping detected"; sid:1000001; rev:1;)' | sudo tee /etc/snort/rules/local.rules
Snort kurallarını /etc/snort/rules/local.rules dosyasına yazabilirsiniz.
Suricata Kurulumu (Ubuntu/Debian)
sudo apt update
sudo apt install -y suricata
Suricata’yı Başlatma
sudo systemctl start suricata
sudo systemctl enable suricata
Test Modunda Çalıştırma
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Güncel Kural Setlerinin İndirilmesi
sudo apt install -y suricata-update
sudo suricata-update
(Kurallar /var/lib/suricata/rules/suricata.rules dosyasına kaydedilir.)
IDS vs IPS Modları
IDS Modu: Sadece dinler ve raporlar. Ağ trafiğine müdahale etmez.
IPS Modu: Ağ trafiğini aktif olarak engelleyebilir. Bunun için bridge veya inline yapılandırma gerekir.
IPS için genelde ağ arayüzlerinin bridge moduna alınması ve Suricata’nın "NFQUEUE" ya da "AF_PACKET" modlarında yapılandırılması gerekir.
Kıyaslama = Snort vs Suricata
Özellik Snort Suricata Geliştirici Cisco OISF Multithread Desteği Yok Var Protokol Analizi Sınırlı Geniş kapsamlı Performans Orta Yüksek Kural Uyumu Snort kuralları Snort + Genişletilmiş.
Loglama ve İzleme
Snort Logları: /var/log/snort/
Suricata Logları: /var/log/suricata/ içinde eve.json en detaylı çıktıyı verir. ELK Stack ile entegre çalışabilir.
Snort ve Suricata, açık kaynak kodlu olmaları ve güçlü topluluk desteği sayesinde küçükten büyüğe birçok organizasyonun ağ güvenliği için tercih ettiği sistemlerdir. Snort daha sade bir yapı sunarken, Suricata modern sistemler için yüksek performans ve gelişmiş analiz seçenekleriyle öne çıkar. Hangi sistemi kullanacağınız, ihtiyaçlarınıza ve altyapınıza bağlı olarak değişir. Ancak her iki sistemin de doğru yapılandırıldığında DDoS, kötü amaçlı trafik, port taramaları ve daha fazlasına karşı etkili savunma sağlayacağı kesindir. |