Docker aplikací pro Linux řady Vigor3912SSpecifikace

• Produkt: Router Vigor 3912S
• Systém detekce narušení: Suricata IDS
• Pravidla: Více než 60,000 6,000 pravidel včetně XNUMX XNUMX+ definic CVE
• Úrovně priority: 4 úrovně, přičemž 1 je nejvyšší priorita

Návod k použití produktu

• Konfigurace linuxové aplikační vrstvy
  • Nakonfigurujte nastavení aplikace Linux na směrovači nastavením adresy IP systému Linux a adresy IP brány systému Linux.
  • Aktivujte službu Linux SSH pro lepší zabezpečení.
• Instalace Suricata

• • Přejděte na [Linux Applications] > [Suricata] a povolte Suricata.
  • Povolte automatické aktualizace Suricata Core Auto Update a Suricata Rule Auto Update.
• Výběr pravidla
  • Vyberte vhodná pravidla na základě úrovní priority. Pomocí tlačítek Vybrat/Vymazat vše aktivujte konkrétní kategorie.
• Monitorování síťových událostí
  • Navštivte [Linux Applications] > [Log Collector] view síťové události detekované Suricatou.
  • Určete, zda zjištěné události vyžadují akci nebo je lze ignorovat.
• Volitelné: Nastavení Smart Action
  • Chcete-li dostávat upozornění na události, povolte Smart Action.
  • Podle potřeby nakonfigurujte kategorii události, typ, obsah, zařízení, úroveň a typ akce.
• Sledování
  • Zkontrolujte oznámení pomocí ikony zvonku a sledujte počty odpovídající pravidlům Suricata na stránce Statistiky.

Jak nainstalovat Suricata IDS na routery Vigor 3912S?
Směrovače Vigor 3912S mohou spouštět více aplikací na vestavěném SSD disku. Existuje již předinstalovaný nějaký software, který tento proces ještě urychlí. Ve výchozím nastavení jsou na routeru dostupné aplikace Suricata, VigorConnect a další.

Díky Dockeru a integraci WUI routeru je povolení Suricaty otázkou několika kliknutí myší.
Tento článek popisuje proces aktivace Suricata IDS na routerech Vigor 3912S.

Poznámka
ujistěte se, že je router připojen k internetu, aby byla použita nejnovější verze softwaru

• Konfigurace aplikační vrstvy Linux na routeru
  • Stránka [Linux Application] > [General Setup] by měla být nakonfigurována tak, aby bylo možné na routeru spouštět předinstalované nebo nové aplikace kompatibilní s Dockerem.
  • Pole IP adresy Linuxu a IP adresy brány Linuxu musí být vyplněny vámi zvolenou IP adresou a rozsahem sítě.

I když je aktivace služby AC Linux SSH volitelná, důrazně se doporučuje.

• Přejděte na [Linux Applications] > [Suricata], vyberte možnost Povolit a Suricata Core
  • Automatické aktualizace a pravidla Suricata Možnosti automatické aktualizace denně kontrolují nejnovější verzi, která se poté automaticky nainstaluje.

Poznámky

1. Core Base – k dispozici jsou dvě základní varianty. V3912-r1 používá Suricata verze 6.0.x; v3912-r2 používá Suricate verze 7.0.x; Aktuální verze Suricaty se zobrazí vedle rozbalovací nabídky Core Base.
2. Automatická aktualizace jádra Suricata se spouští každých 24 hodin, aby se zkontrolovala nejnovější bitová kopie jádra. Po stažení bude nový obraz použit po příštím restartu routeru.
3. Suricata Core Auto Update – tento proces by měl běžet přibližně v 6:30 místního času (každý den). Pokud základní obraz není aktualizován, některá pravidla Suricata mohla obdržet aktualizaci díky procesu základního obrazu SOP, který detekuje a aktualizuje pravidla.

• S více než 60 6 pravidly, včetně definic XNUMXk+ CVE, stojí za to vybrat si to správné.

Poznámka
Jakmile jsou některá pravidla vybrána, Suricata pomáhá detekovat síťové aktivity. Pokud se změní pravidlo Suricata, Vigor 3912S znovu načte službu Suricata.

• Přejděte na [Linux Applications] > [Log Collector]. Vyberte časové období a SURICATA jako Zařízení view síťové události, které SURICATA detekovala. Zjištěné události nemusí být všechny ty špatné. Musíme zkontrolovat, která síťová událost spouští protokol a určit další akci. Pokud je síťová událost normální, můžeme zrušit výběr konkrétního pravidla třídy z Nastavení pravidel.
  
• (volitelně) Povolte Smart Action pro příjem oznámení Suricata

1. Pro kategorii události vyberte Systém
2. Jako Typ události vyberte možnost Protokolovat shodu klíčových slov
3. Do obsahu klíčového slova zadejte .*. To znamená jakýkoli protokol.
4. Typ klíčového slova REGEX nebo TEXT REGEX je zkratka pro Regular Expression, což nám umožňuje používat k vyhledávání definovaný vzor. TEXT je řetězec, který se obvykle nepoužívá se speciálními znaky.
5. Count 1 Time Span 0 sekund znamená odeslání web upozornění na jakoukoli událost.
6. Vyberte SURICATA pro zařízení
7. Vyberte INFO(6) pro Úroveň.
8. Pro kategorii Akce vyberte Systém
9. Vybrat Web Upozornění pro Typ akce

• Sledování Malé zvonkové tlačítko indikuje všechna nová oznámení.

• Malé zvonkové tlačítko označuje všechna nová oznámení.

Nejčastější dotazy

Otázka: Jak často se spouští automatická aktualizace Suricata Core?
Automatická aktualizace jádra Suricata se spouští každých 24 hodin a kontroluje nejnovější bitovou kopii jádra.

Otázka: Co mám dělat, když se některá pravidla Suricata neaktualizují?
Pokud základní obraz není aktualizován, některá pravidla mohou stále přijímat aktualizace prostřednictvím procesu základního obrazu SOP, který detekuje a aktualizuje pravidla. Existují 4 úrovně priority. Pomocí tlačítek Select/Clear All (x) aktivujte konkrétní kategorii. Číslo 1 má nejvyšší prioritu (ze 4).

Dokumenty / zdroje

Draytek Vigor3912S Series Linux Application Docker [pdfUživatelská příručka Řada Vigor3912S, řada Vigor3912S Linux Application Docker, Linux Application Docker, Application Docker, Docker

Reference

• Uživatelská příručka