|
|
04 Mayıs 2025, 11:23
| #1 |
  |  Snort ve Suricata IDS/IPS Sistem Kurumu Siber güvenlik tehditlerinin artmasıyla birlikte, ağ trafiğinin izlenmesi ve kötü amaçlı aktivitelerin tespiti büyük önem kazanmıştır. Bu noktada Intrusion Detection System (IDS) ve Intrusion Prevention System (IPS) çözümleri, ağ güvenliğinin temel taşları haline gelmiştir. Snort ve Suricata, açık kaynak kodlu ve dünya çapında yaygın olarak kullanılan IDS/IPS yazılımlarıdır. Bu makalede, her iki sistemin temel farklarıyla birlikte, Debian/Ubuntu tabanlı sistemlere nasıl kurulup yapılandırıldıkları detaylı şekilde ele alınacaktır. Snort Nedir? Snort, Cisco tarafından geliştirilen açık kaynaklı bir ağ saldırı tespit sistemidir. Ağ trafiğini analiz ederek, imza tabanlı tehdit algılama yapar. Hem IDS hem de IPS olarak kullanılabilir. Snort’un Temel Özellikleri İmza tabanlı tespit Gerçek zamanlı trafik analiz Esnek kural yapısı Log ve alarm üretimi Suricata Nedir? Suricata, Open Information Security Foundation (OISF) tarafından geliştirilen, çok çekirdekli işlemci desteğiyle yüksek performanslı bir IDS/IPS ve ağ analiz sistemidir. Snort kuralları ile uyumludur ama ek özellikler sunar. Suricata’nın Ekstra Avantajları Çok çekirdekli işlem gücü (multithreading) Dahili trafik kayıt özelliği (PCAP) Protokol tabanlı analiz (HTTP, TLS, DNS, SMB) JSON log desteği (ELK stack uyumu) Snort Kurulumu (Ubuntu/Debian) 1. Gerekli Paketlerin Yüklenmesi sudo apt update sudo apt install -y snort Kurulum sırasında “ağ arayüzü” ve “log dizini” istenir. Genellikle eth0 ya da enp0s3 gibi arayüz adları kullanılır. 2. Snort'u Test Etme sudo snort -T -c /etc/snort/snort.conf 3. Basit Kural Yazımı echo 'alert icmp any any -> any any (msg:"Ping detected"; sid:1000001; rev:1;)' | sudo tee /etc/snort/rules/local.rules Snort kurallarını /etc/snort/rules/local.rules dosyasına yazabilirsiniz. Suricata Kurulumu (Ubuntu/Debian) sudo apt update sudo apt install -y suricata Suricata’yı Başlatma sudo systemctl start suricata sudo systemctl enable suricata Test Modunda Çalıştırma sudo suricata -T -c /etc/suricata/suricata.yaml -v Güncel Kural Setlerinin İndirilmesi sudo apt install -y suricata-update sudo suricata-update (Kurallar /var/lib/suricata/rules/suricata.rules dosyasına kaydedilir.) IDS vs IPS Modları IDS Modu: Sadece dinler ve raporlar. Ağ trafiğine müdahale etmez. IPS Modu: Ağ trafiğini aktif olarak engelleyebilir. Bunun için bridge veya inline yapılandırma gerekir. IPS için genelde ağ arayüzlerinin bridge moduna alınması ve Suricata’nın "NFQUEUE" ya da "AF_PACKET" modlarında yapılandırılması gerekir. Kıyaslama = Snort vs Suricata Özellik Snort Suricata Geliştirici Cisco OISF Multithread Desteği Yok Var Protokol Analizi Sınırlı Geniş kapsamlı Performans Orta Yüksek Kural Uyumu Snort kuralları Snort + Genişletilmiş. Loglama ve İzleme Snort Logları: /var/log/snort/ Suricata Logları: /var/log/suricata/ içinde eve.json en detaylı çıktıyı verir. ELK Stack ile entegre çalışabilir. Snort ve Suricata, açık kaynak kodlu olmaları ve güçlü topluluk desteği sayesinde küçükten büyüğe birçok organizasyonun ağ güvenliği için tercih ettiği sistemlerdir. Snort daha sade bir yapı sunarken, Suricata modern sistemler için yüksek performans ve gelişmiş analiz seçenekleriyle öne çıkar. Hangi sistemi kullanacağınız, ihtiyaçlarınıza ve altyapınıza bağlı olarak değişir. Ancak her iki sistemin de doğru yapılandırıldığında DDoS, kötü amaçlı trafik, port taramaları ve daha fazlasına karşı etkili savunma sağlayacağı kesindir. 👍 1 |
| |
| Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir) | |
| |
Ağaç şeklinde