Suricata je open-source nástroj pro detekci síťových hrozeb s funkcemi, jako je detekce narušení, prevence narušení a monitorování zabezpečení sítě. Vyniká v hloubkové kontrole paketů a porovnávání vzorů, což z něj činí neocenitelný nástroj pro detekci hrozeb a útoků.
Suricata může generovat protokoly, snižovat provoz a spouštět výstrahy v případě, že jsou ve vaší síti podezřelé pakety. Tato příručka vás provede instalací Suricata IDS na ubuntu 20.04
Krok 1:Aktualizujte svůj systém
Nejprve se ujistěte, že jsou vaše systémové balíčky aktualizovány. Spusťte příkaz:
$ sudo apt update
Jakmile je index balíčků aktualizován, přejděte k dalšímu kroku.
Krok 2:Přidejte úložiště Suricata
Nejnovější stabilní verze Suricata je k dispozici na úložišti PPA spravovaném OISF. Proto přidáme úložiště Suricata do vašeho systému Ubuntu, jak je znázorněno;
$ sudo add-apt-repository ppa:oisf/suricata-stable
Poté aktualizujte index balíčků svého systému.
$ sudo apt update
S nainstalovaným PPA přejděte k dalšímu kroku a nainstalujte Suricat IDS.
Krok 3:Nainstalujte Suricata
Chcete-li nainstalovat Suricata, spusťte příkaz:
$ sudo apt install suricata
S instalací Suricaty pojďme o krok dále a povolme její spuštění při spouštění.
$ sudo systemctl enable suricata.service
Dále se ujistěte, že instalace proběhla úspěšně spuštěním následujícího příkazu:
$ sudo suricata –build-info
Ověřte, že služba systemd společnosti Suricata běží následovně:
$ sudo systemctl status suricata
Výstup potvrzuje, že Suricata je v provozu na Ubuntu 20.04
Krok 4:Základní nastavení
Konfigurační soubor Suricata se nachází v /etc/suricata/suricata.yaml cesta. Pro základní nastavení potřebujeme nakonfigurovat Suricata pro vaši interní a externí síť. Otevřete konfigurační soubor podle obrázku:
$ sudo vim /etc/suricata/suricata.yaml
Poté zadejte adresu IP pro proměnnou HOME_NET. V tomto případě je moje IP adresa 192.168.100.7. Proměnná HOME_NET je IP adresa vaší místní sítě nebo rozhraní, které chcete monitorovat. Dále definujte hodnotu pro EXTERNA_ NET jako jakákoli síť, která není vaší místní IP adresou.
Dále přejděte do sekce af-packet v konfiguračním souboru a změňte název rozhraní tak, aby odpovídal výše zvolenému síťovému rozhraní.
Krok 5:Pravidla Suricata
Suricata vám umožňuje vytvářet síťová pravidla nebo podpisy podle vašich požadavků. Mezi nejběžnější pravidla patří Emerging Threats a Emerging Threats Pro.
Soubor pravidel se nachází v /etc/suricata/rules/ adresář. Chcete-li zobrazit obsah, spusťte:
$ ls /etc/suricata/rules/
Chcete-li nainstalovat sadu pravidel Emerging Threats Open, spusťte:
$ sudo suricata-update
Tím se pravidla nainstalují do /var/lib/suricata/rules/ adresář.
Krok 6:Spuštění Suricaty
Po instalaci všech pravidel můžete restartovat službu Suricata IDS, jak je znázorněno:
$ sudo systemctl restart suricata
Můžete také zkontrolovat protokoly Suricata, jak je znázorněno:
$ sudo tail /var/log/suricata/suricata.log
To je vše s instalací Suricata IDS na Ubuntu 20.04. Pro více informací přejděte na stránku dokumentace.