Как не потерять суриката на даче
Перейти к содержимому

Как не потерять суриката на даче

  • автор:

Suricata как IPS

Печально видеть, что статьи о предупреждении или предотвращении вторжений на хабре столь непопулярны.
Курс молодого бойца: защищаемся маршрутизатором. Продолжение: IPS — 5 плюсов.
SNORT как сервисная IPS — 25 плюсов.
OSSEC: Большой Брат наблюдает за тобой — 13 плюсов.
Однако, огромной популярностью пользуются статьи по разбору последствий проникновения. Попробую вбросить очередную популяризацию информационной безопасности.

Описание Suricata

Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.
wiki

Suricata — open source IPS/IDS система. Основана разработчиками, которые трудились над IPS версией Snort. Основное отличие Suricata от Snort — возможность использования GPU в режиме IDS, более продвинутая система IPS, многозадачность, как следствие высокая производительность, позволяющая обрабатывать трафик до 10Gbit на обычном оборудовании, и многое другое, в том числе полная поддержка формата правил Snort. Лучше почитать обо всём на официальном сайте. Cегодня погорим об IPS.

В Suricata используется два режима IPS: NFQ и AF_PACKET

NFQ IPS режим работает следующим образом:
1) Пакет попадает в iptables
2) Правило iptables направляет его в очередь NFQUEUE, например iptables -I INPUT -p tcp -j NFQUEUE
3) Из очереди NFQUEUE пакеты могут обрабатываться на уровне пользователя, что и делает Suricata
4) Suricata прогоняет пакеты по настроенным правилам (rules) и в зависимости от них может вынести один из трех вердиктов: NF_ACCEPT, NF_DROP и самое интересное — NF_REPEAT.
5) Пакеты, попадающие в NF_REPEAT, могут быть промаркированы в системе, и направлены обратно в начало текущей таблицы iptables, что дает огромный потенциал для влияния на дальнейшую судьбу пакетов с помощью правил iptables.

Начиная с версии 1.4, Suricata умеет работать в качестве IPS, используя zero copy режим системы AF_PACKET, но с некоторыми ограничениями. Система должна работать в качестве шлюза с двумя сетевыми интерфейсами. Если пакет попадает под DROP правило, то он просто не пересылается на второй интерфейс. Плюсы zero copy — в скорости обработки пакетов, что несомненно понравится провайдерам, которые в случае бездействия рискуют нарваться на штрафы Роскомнадзора.

Установка Suricata на Ubuntu описана на официальной Wiki

Рассмотрим пример с NFQ на WEB сервере

Настраиваем первоначальное правило iptables:

# в очередь направляются пакеты, которые идут на 80-й порт и НЕ попадают под маску 0x1/0x1 для исключения бесконечного цикла iptables -t mangle -I PREROUTING -p tcp -m tcp --dport 80 -m mark ! --mark 0x1/0x1 -j NFQUEUE --queue-num 0 

Используем mangle, т.к. эта таблица является одной из первых на пути пакетов.
Опция —queue-bypass появилась в ядре 2.6.38 и позволяет пропускать все пакеты в очереди при отсутствии слушающего NFQUEUE приложения. Т.е. если Suricata не запущена, то все пакеты, попадающие под правила, пойдут дальше как ни в чем не бывало.
Опция —queue-num задаёт номер очереди.
-m mark! —mark 0x1/0x1 игнорирует все пакеты, которые уже были обработаны Suricata

Настраиваем Suricata в режиме IPS (относительно стандартной конфигурации, которая идет в пакете):

nfq: mode: repeat # настройка маски для обработанных пакетов repeat-mark: 1 repeat-mask: 1 . . . default-rule-path: /etc/suricata rule-files: - test.rules # остальные правила можно закомментировать 

Правило Suricata, которое реагирует на текст TEST в пакете (/etc/suricata/test.rules):

pass tcp any any -> any any (content: "TEST"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;)

sid должен быть уникальным

В совокупности с настройкой Suricata и правилом, маркировка и маска «плохого» пакета будут: 0x02/0xfe (0xff XOR 0x01 = 0xfe)

suricata -q 0 -c /etc/suricata/suricata.yaml 

Дальнейший разбор пакетов правилами iptables:

# детектируем пакет, на который сработало правило iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 80 -m mark --mark 0x2/0xfe -j LOG --log-prefix "TEST packet detected" 

После выполнения на удаленном клиенте:

curl http://221.141.200.189/TEST 

В /var/log/syslog появится запись вида:

Sep 9 14:23:06 server kernel: [ 2897.581561] TEST packet detectedIN=eth0 OUT= MAC=c5:d5:08:8f:2d:be:ce:df:3e:af:8c:06:08:00 SRC=97.17.34.191 DST=221.141.200.189 LEN=133 TOS=0x00 PREC=0x00 TTL=64 DF PROTO=TCP SPT=33949 DPT=80 WINDOW=115 RES=0x00 ACK PSH URGP=0 MARK=0x3

Не стоит забывать, что Suricata маркирует лишь пакеты. Чтобы правило сработало на всё соединение в целом, необходимо его промаркировать:

# Копируем маркировку пакетов в маркировку соединений iptables -t mangle -A PREROUTING -m mark --mark 0x2/0xfe -j CONNMARK --save-mark # детектируем соединение, на которое сработало правило iptables -t mangle -A PREROUTING -m connmark --mark 0x2/0xfe -j LOG --log-prefix "TEST connection detected" # И наоборот, копируем маркировку с соединения на все пакеты iptables -t mangle -A PREROUTING -m connmark --mark 0x2/0xfe -j CONNMARK --restore-mark 

Если обратить внимание на замечательное дополнение к iptables как RAW DNAT/SNAT, то при помощи Suricata можно направлять разные типы трафика на разные адреса назначения. Тут тоже кроются несколько нюансов как потеря целостности соединения, но это легко решить использованием проксирующего ПО, который сможет налету восстанавливать соединения.

Кроме того, Suricata умеет модифицировать пакеты «на лету». Например:

pass tcp any any -> any any (content: "TEST"; replace:"SETS"; msg: "TEST was marked!"; nfq_set_mark:0x2/0xffffffff; sid:2455;) 

Заменит в пакете текст TEST на SETS, но при одном условии — заменяющие данные должны быть точно такого же размера, что и оригинал. В данном случае команда:

curl -v http://221.141.200.189/TEST 

сохранит в лог WEB сервера:

97.17.34.191 - - [09/Sep/2013:14:51:04 +0400] "GET /SETS HTTP/1.1" 200 151 "-" "curl/7.26.0" 
Рассмотрим пример с AF_PACKET на шлюзе

Здесь всё проще. Конфигурация suricata.yaml должна выглядеть приблизительно так:

af-packet: - interface: eth0 threads: 1 defrag: yes cluster-type: cluster_flow cluster-id: 98 copy-mode: ips copy-iface: eth1 buffer-size: 64535 use-mmap: yes - interface: eth1 threads: 1 cluster-id: 97 defrag: yes cluster-type: cluster_flow copy-mode: ips copy-iface: eth0 buffer-size: 64535 use-mmap: yes 

Количество потоков обработчика должно быть не более единицы для ядер старше 3.6, иначе увеличение количества потоков вызовет бесконечный цикл.
MTU на обоих сетевых интерфейсах должно быть идентичным.

suricata -c /etc/suricata/suricata.yaml --af-packet
Заключение

Suricata — гибкий инструмент по обработке пакетов, который позволяет менять маршруты в зависимости от содержания пакета, детектировать атаки и предотвращать попадание «плохих» пакетов в систему (например DROP’ать или подменять пакеты, пока они не дошли до WEB сервера). Возможно уже сейчас правительство провайдеры используют Suricata в качестве DPI.

Для написания статьи использовалась информация с блога одного из разработчиков Suricata и официальная Wiki.

«День сурка»: с массовым отключение воды столкнулся Волгоград

Так, на крупное отключение пожаловались жители микрорайона СХИ. Вода исчезла в кранах сегодня около 10:00 утра. Жительница Наталия говорит, что об отключении их заранее никто не предупредил. Люди дозвонились до аварийной службы в управляющей компании:

— В аварийной УК сказали, что работает водоканал, ориентировочно, до 19 часов. Снова разрыли яму в постоянном месте — Казахская, 32. Снова мы без воды. Прямо день сурка.

Концессионеры пояснили, что в Советском районе сейчас действительно отключена подача воды в ряд домов по улице Казахской и проспекту Университетскому. Ремонтные работы между домами № 26 — 32 на улице Казахской ведут «Концессии водоснабжения». Здесь меняют длинный участок старой трубы:

— К работам привлечены несколько единиц специализированной техники, в настоящее время ведется сварка нового отрезка. Восстановительные работы планируется завершить до конца дня.

Тревожные сообщения об отключении воды поступили в редакцию и с Донецкой, 7. Эти жители говорят, что их отключению скоро исполнится двое суток:

— Недалеко, напротив дома Донецкая 3, разрыли яму, перекрыв дорогу. Пошли вторые сутки.

Оказалось, что на Донецкой сейчас тоже меняют изношенный кусок трубы. Подачу воды были вынуждены отключить в три жилых дома. Проблему выявили после гидравлических испытаний.

— Работы планируется завершить до конца дня, — пообещали концессионеры.

На ту же проблему с горячей водой указали жители поселка Стройдеталь недалеко от проспекта Университетского.

Выяснилось, что в местную котельную временно перестали подавать газ, так как на сетях сторонней организации-ресурсника проводятся ремонтные работы.

— По завершении работ и возобновлении газа в котельную возобновится подача ресурса.

Об отсутствие кипятка в кранах сейчас одновременно заявляют и жители Кировского района:

— В Кировском районе (улица 64 Армии, Кирова) сегодня тоже нет горячей воды.

В это районе продолжается поэтапная замена теплосети на улице Быстрова, это нужно, чтобы пережить будущий отопительный сезон. Закончить работы намерены до конца суток. Утверждается, что в этих домах нет только горячей воды, холодную не отключали:

Слабые участки были выявлены в ходе гидравлических испытаний на сетях котельной кв. 1111. По результатам испытаний принято решение об оперативной замене изношенных отрезков в ходе подготовки к предстоящему отопительному сезону для обеспечения надежной работы трубопровода в дальнейшем. В настоящее время завершаются сварочные работы на участке тепловой сети, после чего начнется заполнение систем ресурсом. На время проведения работ временно ограничена подача горячего водоснабжения в ряд домов Кировского района.

Напомним, что на выходных жителей двух районов Волгограда ожидает большое отключение воды. Кому отключат воду, как это проходить и зачем оно необходимо — подробно читайте в этом материале на сайте.

Больше интересных новостей о жизни Волгограда — в нашем телеграм-канале. И не забудьте подписаться!

Ирина Рассказова

Новости на Блoкнoт-Волгоград

Будь в курсе событий!
Подпишись на «Блокнот Волгоград»
в Телеграм.

«Как я в автобусе»: Самарцев умилил полусонный сурикат из зоопарка

Погода в Самарской области на этой рабочей неделе не балует местных жителей. Грозы, дожди, небольшой плюс и порывистый ветер не покидают регион уже который день. Метеозависимым в такое время особенно непросто — присутствует небольшая слабость и постоянно клонит в сон.

В числе зависимых от погоды оказался и малыш сурикат из Самарского зоопарка. Видеозапись с умилительным зверьком не оставила самарцев равнодушными.

Судя по всему, неустойчивые погодные условия сказались и на животном, оно еле еле держится, чтобы не провалиться в сон в положении сидя. Однако Царство Морфея оказалось сильнее — к концу ролика маленький сурикат окончательно заснул.

«Как я в автобусе»,

«Ложился и спал бы. Мученик»,

«Поднять подняли, а разбудить забыли», — писали самарцы в комментариях к посту.

Для справки: Сурикат — вид млекопитающих из семейства мангустовых. Наиболее распространён в Южной Африке (в районе пустыни Калахари: на территориях юго-западной Анголы, Намибии, Ботсваны и ЮАР). Сурикаты являются самыми мелкими представителями семейства мангустовых. Жить они предпочитают многочисленными группами, насчитывающими до 3-х десятков особей.

Несколькими днями ранее трое лосей устроили настоящий заплыв на скорость. Из воды торчали лишь головы усердно гребущих зверей. Местным жителям во время прогулки удалось снять необычное явление – плывущих по Волге диких животных.

К слову о погоде, на 8 июня прогноз неутешительный: дождь, гроза и ветер силой до 15-20 м/с.

Как не потерять суриката на даче

Вереск-растение для сада или леса?

Подскажите пожалуйста очень хочу себе на участок пересадить вереск из леса.
В прошлом году попробовала и земли лесной побольше набрала и со мхом сверху и старалась сразу же посадить, но ничего не вышло.
Подскажите как пересадить вереск, чтобы он прижился.
Нехочется мучить растение методом проб и ошибок.
А информацию нигде найти не могу. Помогите.

Oksik
Brest
17.03.2005
05:33:34

Oksik, вереск крайне плохо пересаживается из леса. Гораздо проще купить растения, выращенные в контейнерах, различных сортов. Покупать лучше в первой половине лета или весной (хотя продавать предпочитают их осенью, в цвету). Сортовые и красивее, и приживаются легче. У вас наверняка должны их ввозить их в огромных количествах их Польши. Если нет — попросите кого-нибудь, кто ездит в Польшу, поискать на тамошних цветочных рынках и в садовых супермаркетах. Главное — не пересушить! растение в контейнере до высадки. А еще поищите про вереск в Архиве форума и почитайте в ЭДСР (желтая кнопка слева). Успехов!

imers
Москва
17.03.2005
19:13:01

Оксана, совершенно случайно, набирая вересковой земли в лесу для своих вересков, я вытянула «дикий» вереск с корешками. Ничего не оставалось делать, как забрать его к себе. Посадила в ту же землю, полила,накрыла обрезанной полиэтиленовой 5л бутылкой с открытым горлышком сверху, через которое в дальнейшем поливала. Жив и здоров, даже осенью зацвел. Мучительно вспоминаю какое время года это было — то ли поздняя весна, то ли ближе к осени, но в природе цветения его еще не наступило.

Mauris
Калининград
17.03.2005
19:42:40

Оксана, приведу пример и положительного общения с дикими вересками. За последние годы переаживал огромное их количество — от сеянцев до взрослых кустищ с полуторасантиметровым стволом. Приживаемость всегда 100 %. В чём секрет, не знаю, но параметры такие: земля легкая песчаная, с добавлением лесной трухи и иголок из-под сосен. Выкапываю с очень большим комом земли, в полтора-два раза шире кроны, пересаживаю в течение всего сезона с апреля по ноябрь. Место полностью освещенное. Влажность умеренная, после пересадки обильно поливаю водой, мульчирую 5см слоем рыжего торфа, перемешанного с иголками или сфагнумом. Химию не использую.
Все пересаженные экземпляры прекрасно развиваются и цветут.

KOST
Спб
18.03.2005
11:01:57

вереск лучше выкапывать тот,который растет на открытом солнце(на опушках леса),где сухо;при таких условиях корни остаются компактными,что дает возможность выкопать растения с комом,т.к.земля здесь твердая,а в лесу на мхах это сделать очень сложно. На северном садоводе в начале сезона можно купить прошлогодний вереск за небольшие деньги(и цвести он будет осенью)

dina
Москва
18.03.2005
11:27:55

KOST, а выпадают у тебя только сортовые верески? С дикими все в порядке? Спрашиваю потому, что у меня дикие тоже растут, и давно, но в прошлом году три кустика приказали долго жить по неизвестной причине:(( А приживлись при пересадке все на «ура», и росли несколько лет.

Ojika
Москва
18.03.2005
12:54:33

Одну тонкость по выхаживанию вереска поняла. Очень они любят помимо кислой почвы и солнца, опрыскивания ежевечернего.

JeMMa
Москва
18.03.2005
19:38:06

JeMMa, любят-то они любят:) («Съесть-то она съесть, да хто ж ей дасть. » :))) Особенно когда на дачу попадаешь с интервалом в 10 дней, а то и больше. А от ежевечернего опрыскивания, я думаю, многие растения не отказались бы;))) Так что это, конечно, хорошо, но совсем не обязательно:))) Могут прижиться и без этого, — главное, как можно меньше корни повредить при посадке.

Ojika
Москва
18.03.2005
19:45:18

Ojika, ну просто «сняла с языка»,именно об это я и подумала,особенно если огромная коллекция и в разных концаз сада посажены.Я вообще за вересками не ухаживаю,ни пою и не кормлю,растут как в природе.Главное выбрать подходящее место,там где им хорошо и вам удобно ими любоваться.
http://perennial.h12.ru/calluna_2004/calluna_2004.html

LF
Санкт-Петербург
18.03.2005
21:02:37

Ojika, у меня дикие верески предсказуемы — без уважительных причин не выпадают, посаженные в 1997 году растут до сих пор прекрасно без фокусов. А сортовые всё равно вылетают рано или поздно — зачем тратить силы на таких «долгожителей».

KOST
Спб
20.03.2005
11:54:37

KOST, вы считаете не стоит выращивать сортовые верески в наших садах? Или я не правильно поняла?
У меня на этот счет опыт положительный и радостный. Да и не только у меня,но и у моей подруги,она, к сожалению, не пишет в форум,но читает и на наши лекции в зоопарк ходит.Её опыт за Выборгом и вдохновил меня выращивать верески,Валентина Ивановна их не только успешно выращивает,но и размножает : делит и черенкует.Но отрицательный опыт тоже очень важен,раскажите,пожалуйста, поподробнее проблемы вересков. Без вересков скушен осенний сад, уж очень они красивы. «Цветы осенние милей,весенних первенцев полей. »
http://perennial.h12.ru/calluna_2004/.
http://perennial.h12.ru/calluna_2004/.

LF
Санкт-Петербург
20.03.2005
18:56:17

KOST, сортовые — они, конечно,
рано или поздно вылетают. Но
ведь краси-и-ивые же. И все
время надеешься на то, что будет
«поздно», а не «рано» ;)))
И вообще — если с таких позицияй
подходить, то. «Все в землю
ляжет, все прахом будет!» ;)))
Да и сил особых я на них не трачу —
ну только все время с лейками
бегаю, если дождей нет:)))

Ojika
Москва
21.03.2005
18:37:23

KOST,ну, пожалуйста, объясните свою позицию:»Сортовые всё равно вылетают рано или поздно — зачем тратить силы на таких «долгожителей».Уже второй раз,с содроганием, встречаю на форуме этот Ваш вывод,но абсолютно не понимаю его природы, почему. Или это как с кедрами, все говорят, что в Подмосковье они не будут расти,а почему не очень объясняют. А ведь у некоторых растут все же.

НивЕ
Москва
22.03.2005
19:55:32

НивЕ, мне не просто нравятся верески, я от них просто без ума! И поэтому хотел бы их видеть постоянно растущими, развивающимися и радующими глаз. Вначале так и было, в течение 3-5 лет всё колосилось, цвело и пахло, уж условия им я обеспечиваю райские — Карельский перешеек все-таки. Затем начались вылеты по совершенно неописуемым причинам, первыми слетели желтолистные, а затем и другие сорта вне корреляции с суровостью зимы. В итоге остались три сорта: Лонг вайт, Анна-мария и ещё какой-то махровый. Мне такие капризы не интересны, так как ставку делаю долгоживущие, в достаточной степени предсказуемые многолетники и сад минимального ухода. Вот ботсад в Брно может себе позволить заменять ежегодно несколько соток вылетевших вересков на новые — как бы само собой, незаметно для зрителя. Поэтому я был вынужден от этой культуры отказаться.
А кедры под Питером, по крайней мере, на Карельском растут превосходно, так же как и кедрач.

KOST
Спб
22.03.2005
21:10:25

Под Клином кедры тоже ростут, целая аллея к дому лесничества.Сажали 2-х метровыми лет 30 назад,с их слов,сеянцы и 3-х летки не приживаются.
Иногда, хочется достигнуть мало возможного — для себя, для души, для самоудовлетворения и пусть этот момент будет недолгим, но он будет в твоей жизни.

Salix
Mockвa
25.03.2005
08:25:34

IMHO позиция KOSTа вызывает глубокое уважение.Мне такая решимость дается с большим трудом, расбрасываюсь и мелочусь. Скажите, KOST, если существует один видовой вереск, значит ли это, что среди наших лесных вересков нет разнообразия, или все же какие-то вариации существуют?

asiopa
St. Petersburg
25.03.2005
13:08:35

Видимо, сортовые выпадают, если попадаются зараженные какой-то грибной гадостью. У меня один сортовой с 1997 г. (тьфу-тьфу-тьфу), он какой-то карликовый сам по себе, у другогго — только вторая зима . Правда, условия у них не «райские» — почву я им не закисляю, кушают, что дают (свои — слабо-кислые суглинки). Вода не застаивается. Обрезка весной! С пересадкой дикого вереска ничего не вышло — не удалось откопать как надо их метровые корни, а может, их микориза пришла в конфликт с моей родной. В общем, не прижились.

imers
Москва
28.03.2005
08:25:09

Ира, а я без всяких проблем
молоденькие верески с
торфяников переносила! И корни у
них были очень компактные.

Ojika
Москва
28.03.2005
21:18:00

не знаю стоит ли повторяться,вроде все и всё сказали.Сажать и любоваться и надеяться на лучшее или даже не пытаться? Не знаю,если мой опыт кому-то интересен,то у меня выпадений практически не было,растут без проблем и ухода как в природе.да и цена на вереск мизерная по сравнению с другими многолетними и кустарничками,даже ,например с хебе.Советую все-таки выращивать сортовые верески в саду.

LF
Санкт-Петербург
28.03.2005
22:02:53

LF, а как себя ведут хебе в Вашем саду? Зимуют ли? В частности H.pinguifolia `Pagei`? Я свои побоялась оставлять на улице зимовать.

sveta
Tallinn
29.03.2005
11:17:10

Извините,вклиниваюсь. У меня хебе (увы,сорт не знаю) прошлую зиму благополучно перезимовал под лутрасилом.

НивЕ
Москва
29.03.2005
20:13:04

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *