Suricata je open-source nástroj pro detekci síťových hrozeb s funkcemi, jako je detekce narušení, prevence narušení a monitorování zabezpečení sítě. Vyniká v hloubkové kontrole paketů a porovnávání vzorů, což z něj činí neocenitelný nástroj pro detekci hrozeb a útoků.
Suricata může generovat protokoly, snižovat provoz a spouštět výstrahy v případě, že jsou ve vaší síti podezřelé pakety.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy týkající se instalace softwaru systému Ubuntu Linux.
V této souvislosti se podíváme na kompletní instalační postup Suricata IDS na ubuntu 20.04.
Kroky k instalaci Suricata IDS na Ubuntu 20.04 LTS (Focal Fossa)
1. Proveďte aktualizaci systému
Nejprve se ujistěte, že jsou vaše systémové balíčky aktualizovány spuštěním následujícího příkazu:
$ sudo apt update
2. Přidejte úložiště Suricata
Nejnovější stabilní verze Suricata je k dispozici na úložišti PPA spravovaném OISF. Proto do vašeho systému Ubuntu přidáme úložiště Suricata:
$ sudo add-apt-repository ppa:oisf/suricata-stable
Poté aktualizujte index balíčků vašeho systému:
$ sudo apt update
S nainstalovaným PPA přejděte k dalšímu kroku a nainstalujte Suricat IDS.
3. Nainstalujte Suricata
Chcete-li nainstalovat Suricata, spusťte příkaz:
$ sudo apt install suricata
S instalací Suricaty pojďme ještě o krok dále a povolme její spuštění při spouštění:
$ sudo systemctl enable suricata.service
Dále se ujistěte, že instalace proběhla úspěšně spuštěním následujícího příkazu:
$ sudo suricata –build-info
Potvrďte, že služba systemd společnosti Suricata běží:
$ sudo systemctl status suricata
Výstup potvrzuje, že Suricata je v provozu na Ubuntu 20.04
Jak nakonfigurovat Suricata na Ubuntu?
Konfigurační soubor Suricata se nachází v cestě /etc/suricata/suricata.yaml. Pro základní nastavení potřebujeme nakonfigurovat Suricata pro vaši interní a externí síť. Otevřete konfigurační soubor pomocí níže uvedeného příkazu:
$ sudo vim /etc/suricata/suricata.yaml
Poté zadejte adresu IP pro proměnnou HOME_NET. V tomto případě je naše IP adresa 192.168.100.1. Proměnná HOME_NET je IP adresa vaší místní sítě nebo rozhraní, které chcete monitorovat. Dále definujte hodnotu pro EXTERNA_NET jako jakoukoli síť, která není vaší místní IP adresou.
Dále přejděte do sekce af-packet v konfiguračním souboru a změňte název rozhraní tak, aby odpovídal zvolenému síťovému rozhraní.
Jak nastavit pravidla Suricata?
Suricata vám umožňuje vytvářet síťová pravidla nebo podpisy podle vašich požadavků. Mezi nejběžnější pravidla patří Emerging Threats a Emerging Threats Pro.
Soubor pravidel se nachází v adresáři /etc/suricata/rules/. Chcete-li zobrazit obsah, spusťte:
$ ls /etc/suricata/rules/
Chcete-li nainstalovat sadu pravidel Emerging Threats Open, spusťte:
$ sudo suricata-update
Tím se pravidla nainstalují do adresáře /var/lib/suricata/rules/.
Jak spustit Suricata?
Po instalaci všech pravidel můžete restartovat službu Suricata IDS pomocí níže uvedeného příkazu:
$ sudo systemctl restart suricata
Můžete také zkontrolovat protokoly Suricata pomocí níže uvedeného příkazu:
$ sudo tail /var/log/suricata/suricata.log