„Vigor3912S“ serijos „Linux Application Docker“.Specifikacijos

• Produktas: Vigor 3912S maršrutizatorius
• Įsibrovimų aptikimo sistema: Suricata IDS
• Taisyklės: daugiau nei 60,000 6,000 taisyklių, įskaitant XNUMX XNUMX ir daugiau CVE apibrėžimų
• Prioriteto lygiai: 4 lygiai, iš kurių 1 yra aukščiausias prioritetas

Produkto naudojimo instrukcijos

• „Linux“ programų sluoksnio konfigūravimas
  • Konfigūruokite „Linux Application“ nustatymus maršrutizatoriuje nustatydami „Linux“ IP adresą ir „Linux Gateway“ IP adresą.
  • Norėdami padidinti saugumą, suaktyvinkite „Linux SSH“ paslaugą.
• Suricata montavimas

• • Eikite į [Linux Applications] > [Suricata] ir įjunkite Suricata.
  • Įgalinkite Suricata Core Auto Update ir Suricata Rule Auto Update automatiniams naujinimams.
• Taisyklių pasirinkimas
  • Pasirinkite tinkamas taisykles pagal prioritetų lygius. Norėdami suaktyvinti konkrečias kategorijas, naudokite mygtukus Pasirinkti/Išvalyti viską.
• Tinklo įvykių stebėjimas
  • Apsilankykite [Linux Applications] > [Log Collector], kad view tinklo įvykiai, kuriuos aptiko Suricata.
  • Nustatykite, ar aptiktiems įvykiams reikia imtis veiksmų, ar juos galima ignoruoti.
• Pasirenkama: išmaniojo veiksmo sąranka
  • Įgalinkite išmanųjį veiksmą, kad gautumėte pranešimus apie įvykius.
  • Jei reikia, sukonfigūruokite įvykio kategoriją, tipą, turinį, įrangą, lygį ir veiksmo tipą.
• Stebėjimas
  • Patikrinkite, ar nėra pranešimų, naudodami varpelio piktogramą ir statistikos puslapyje stebėkite Suricata taisykles atitinkančius skaičius.

Kaip įdiegti „Suricata IDS“ maršrutizatoriuose „Vigor 3912S“?
Vigor 3912S maršrutizatoriai gali paleisti kelias programas savo integruotame SSD diske. Tam, kad šis procesas būtų dar greitesnis, jau yra iš anksto įdiegta tam tikra programinė įranga. Pagal numatytuosius nustatymus maršrutizatoriuje pasiekiamos Suricata, VigorConnect ir kitos programos.

Dėka „Docker“ ir maršrutizatoriaus WUI integracijos, „Suricata“ įgalinimas yra kelių pelės paspaudimų reikalas.
Šiame straipsnyje aprašomas „Suricata IDS“ aktyvinimo procesas „Vigor 3912S“ maršrutizatoriuose.

Pastaba
įsitikinkite, kad maršrutizatorius yra prijungtas prie interneto, kad būtų naudojama naujausia programinės įrangos versija

• „Linux Application“ sluoksnio konfigūracija maršrutizatoriuje
  • Puslapis [Linux Application] > [General Setup] turėtų būti sukonfigūruotas taip, kad maršrutizatoriuje būtų galima paleisti iš anksto įdiegtas arba naujas su Docker suderinamas programas.
  • „Linux“ IP adreso ir „Linux Gateway“ IP adreso laukuose turi būti nurodytas jūsų pasirinktas IP adresas ir tinklo diapazonas.

Labai rekomenduojama suaktyvinti AC Linux SSH paslaugą, nors ir neprivaloma.

• Eikite į [Linux Applications] > [Suricata], pasirinkite Enable ir Suricata Core.
  • Automatinio atnaujinimo ir Suricata taisyklės automatinio atnaujinimo parinktys kasdien tikrina naujausią versiją, kuri vėliau automatiškai įdiegiama.

Pastabos

1. Core Base – galimi du pagrindo pagrindo variantai. V3912-r1 naudoja Suricata 6.0.x versiją; v3912-r2 naudoja Suricate 7.0.x versiją; Dabartinė „Suricata“ versija bus rodoma šalia „Core Base“ išskleidžiamojo meniu.
2. „Suricata Core Auto Update“ vykdomas kas 24 valandas, kad būtų patikrintas naujausias pagrindinis vaizdas. Atsisiuntus naujas vaizdas bus naudojamas po kito maršrutizatoriaus perkrovimo.
3. „Suricata Core Auto Update“ – šis procesas turėtų vykti maždaug 6:30 val. vietos laiku (kiekvieną dieną). Jei pagrindinis vaizdas neatnaujintas, kai kurios Suricata taisyklės galėjo būti atnaujintos dėl pagrindinio vaizdo SOP proceso, kuris aptinka ir atnaujina taisykles.

• Turint daugiau nei 60 6 taisyklių, įskaitant XNUMX XNUMX ir daugiau CVE apibrėžimus, verta pasirinkti tinkamą.

Pastaba
Pasirinkus kai kurias taisykles, Suricata padeda aptikti tinklo veiklą. Jei Suricata taisyklė pasikeis, Vigor 3912S iš naujo įkels Suricata paslaugą.

• Eikite į [Linux Applications] > [Log Collector]. Pasirinkite laiko intervalą ir SURICATA kaip priemonę view tinklo įvykius, kuriuos aptiko SURICATA. Ne visi aptikti įvykiai gali būti blogi. Turime patikrinti, kuris tinklo įvykis suaktyvina žurnalą ir nustatyti tolesnį veiksmą. Jei tinklo įvykis yra įprastas, mes galime panaikinti konkrečios klasės taisyklės pasirinkimą iš taisyklių sąrankos.
  
• (pasirenkama) Įgalinkite Smart Action, kad gautumėte Suricata pranešimus

1. Įvykio kategorijai pasirinkite Sistema
2. Įvykio tipui pasirinkite Žurnalo raktinių žodžių atitiktį
3. Raktinių žodžių turinyje įveskite .*. Tai reiškia bet kokį rąstą.
4. Raktinio žodžio tipas REGEX arba TEKSTAS REGEX reiškia reguliarųjį reiškinį, kuris leidžia paieškai naudoti apibrėžtą šabloną. TEXT yra eilutė, paprastai nenaudojama su specialiaisiais simboliais.
5. Skaičiuoti 1 Laiko intervalas 0 sekundžių reiškia siųsti web pranešimas apie bet kokį įvykį.
6. Priemonei pasirinkite SURICATA
7. Lygiui pasirinkite INFO (6).
8. Veiksmų kategorijai pasirinkite Sistema
9. Pasirinkite Web Pranešimas apie veiksmo tipą

• Stebėjimas Mažasis varpelio mygtukas rodo bet kokius naujus pranešimus.

• Mažasis varpelio mygtukas rodo bet kokius naujus pranešimus.

DUK

Kl.: Kaip dažnai veikia „Suricata Core Auto Update“?
„Suricata Core Auto Update“ vykdomas kas 24 valandas, kad būtų patikrintas naujausias pagrindinis vaizdas.

K: Ką turėčiau daryti, jei kai kurios Suricata taisyklės neatnaujinamos?
Jei pagrindinis vaizdas neatnaujintas, kai kurios taisyklės vis tiek gali gauti naujinimus per pagrindinio vaizdo SOP procesą, kuris aptinka ir atnaujina taisykles. Yra 4 prioritetų lygiai. Norėdami suaktyvinti konkrečią kategoriją, naudokite mygtukus Select/Clear All (x). Skaičius 1 yra aukščiausias prioritetas (iš 4).

Dokumentai / Ištekliai

„Draytek Vigor3912S“ serijos „Linux“ programų dokas [pdfNaudotojo vadovas Vigor3912S serija, Vigor3912S serija Linux Application Docker, Linux Application Docker, Application Docker, Docker

Nuorodos

• Vartotojo vadovas