Докер за апликација за Linux од серијата Vigor3912SСпецификации

• Производ: Vigor 3912S рутер
• Систем за откривање на упад: Suricata IDS
• Правила: Над 60,000 правила вклучувајќи 6,000+ CVE дефиниции
• Нивоа на приоритети: 4 нивоа, при што 1 е највисок приоритет

Упатство за употреба на производот

• Конфигурација на апликацискиот слој на Linux
  • Конфигурирајте ги поставките за апликацијата Linux на рутерот со поставување на IP адресата на Linux и IP адресата на Gateway на Linux.
  • Активирајте ја услугата Linux SSH за подобрена безбедност.
• Инсталација на Suricata

• • Одете до [Linux Applications] > [Suricata] и овозможете Suricata.
  • Овозможете автоматско ажурирање на Suricata Core и автоматско ажурирање на правилото Suricata за автоматско ажурирање.
• Избор на правила
  • Изберете ги соодветните правила врз основа на нивоата на приоритети. Користете ги копчињата Избери/Избриши ги сите за да активирате одредени категории.
• Мрежно следење на настани
  • Посетете [Linux Applications] > [Log Collector] на view мрежни настани откриени од Suricata.
  • Утврдете дали откриените настани бараат акција или може да се игнорираат.
• Изборно: Smart Action Setup
  • Овозможете Smart Action за да примате известувања за настани.
  • По потреба конфигурирајте ја категоријата, типот, содржината, објектот, нивото и типот на настанот.
• Мониторинг
  • Проверете дали има известувања користејќи ја иконата за ѕвонче и следете ги броевите што се совпаѓаат со правилата на Suricata на страницата Статистика.

Како да инсталирате Suricata IDS на рутерите Vigor 3912S?
Рутерите Vigor 3912S можат да извршуваат повеќе апликации на вградениот SSD диск. Веќе има некој софтвер преинсталиран за да се направи овој процес уште побрз. Стандардно, Suricata, VigorConnect и други апликации се достапни на рутерот.

Благодарение на Docker и WUI интеграцијата на рутерот, овозможувањето на Suricata е прашање на неколку кликања со глувчето.
Оваа статија го прикажува процесот на активирање на Suricata IDS на рутерите Vigor 3912S.

Забелешка
ве молиме проверете дали рутерот е поврзан на Интернет за да се користи најновата верзија на софтверот

• Конфигурација на слојот на апликацијата Linux на рутерот
  • Страницата [Linux Application] > [General Setup] треба да биде конфигурирана така што претходно инсталираните или новите апликации компатибилни со Docker може да се извршуваат на рутерот.
  • Полињата за IP адреса на Linux и IP адресата на Linux Gateway мора да бидат пополнети со IP адресата и опсегот на мрежата по ваш избор.

Активирањето на услугата AC Linux SSH, иако опционално, многу се препорачува.

• Одете до [Linux Applications] > [Suricata], изберете Enable и Suricata Core
  • Опциите за автоматско ажурирање и автоматско ажурирање на правилото Suricata секојдневно проверуваат за најновата верзија која потоа автоматски се инсталира.

Белешки

1. Основна основа - достапни се две основни основни опции. V3912-r1 користи Suricata верзија 6.0.x; v3912-r2 користи Suricate верзија 7.0.x; Тековната верзија на Suricata ќе биде прикажана веднаш до паѓачкото мени Core Base.
2. Автоматското ажурирање на Suricata Core се извршува на секои 24 часа за да се провери за најновата основна слика. Откако ќе се преземе, новата слика ќе се користи по следното рестартирање на рутерот.
3. Автоматско ажурирање на Suricata Core – овој процес треба да работи околу 6:30 часот по локално време (секој ден). Ако основната слика не е ажурирана, некои правила на Suricata можеби добиле ажурирање благодарение на процесот SOP на основната слика што ги открива и ажурира правилата.

• Со повеќе од 60 илјади правила, вклучително и 6k+ CVE дефиниции, вреди да се избере вистинскиот.

Забелешка
Откако ќе се изберат некои правила, Suricata помага да се детектираат активностите на мрежата. Ако правилото Suricata се смени, Vigor 3912S повторно ќе ја вчита услугата Suricata.

• Одете во [Linux Applications] > [Log Collector]. Изберете го временскиот опсег и SURICATA како можност за view мрежните настани што ги откри SURICATA. Откриените настани можеби не се сите лоши. Мора да провериме кој мрежен настан го активира дневникот и да го одредиме понатамошното дејство. Ако мрежниот настан е нормален, можеме да го деселектираме правилото за одредена класа од Поставувањето правила.
  
• (опционално) Овозможете Smart Action за да ги примате известувањата за Suricata

1. Изберете Систем за категоријата настан
2. Изберете совпаѓање со клучни зборови за евиденција за типот на настанот
3. Внесете .* во содржината на клучни зборови. Тоа значи каков било дневник.
4. Тип на клучни зборови REGEX или TEXT REGEX се кратенки за Регуларен израз, што ни овозможува да ја користиме дефинираната шема за пребарување. TEXT е низата, обично не се користи со специјални знаци.
5. Брои 1 Временски распон 0 секунди значи да се испрати web известување за кој било настан.
6. Изберете SURICATA за објектот
7. Изберете INFO(6) за Ниво.
8. Изберете Систем за категоријата акција
9. Изберете Web Известување за типот на дејство

• Мониторинг Копчето за мало ѕвонче покажува какви било нови известувања.

• Малото копче за ѕвонче покажува какви било нови известувања.

Најчесто поставувани прашања

П: Колку често се извршува автоматското ажурирање Suricata Core?
Автоматското ажурирање на Suricata Core се извршува на секои 24 часа за да се провери за најновата основна слика.

П: Што треба да направам ако некои правила на Suricata не се ажурираат?
Ако основната слика не се ажурира, некои правила сепак може да добиваат ажурирања преку процесот на SOP на основната слика што ги открива и ажурира правилата. Има 4 нивоа на приоритет. Користете ги копчињата Select/Clear All (x) за да ја активирате одредената категорија. Бројот 1 е највисок приоритет (од 4).

Документи / ресурси

Докер за апликации за Linux од серијата Draytek Vigor3912S [pdf] Упатство за сопственикот Vigor3912S Series, Vigor3912S Series Linux Application Docker, Linux Application Docker, Application Docker, Docker

Референци

• Упатство за употреба