V tomto tutoriálu krok za krokem vysvětlíme, jak nainstalovat a přizpůsobit Suricata na Debian 11.
Suricata je nástroj pro monitorování zabezpečení sítě, který zpracovává a řídí síťový provoz. Používá se také pro generování výstrah, logů a zjišťování podezřelých paketů nebo požadavků na jakoukoli službu přicházející na váš server. Suricata může být nasazena na hostitelském serveru pro skenování příchozího a odchozího síťového provozu nebo může být použita lokálně na jakémkoli kompatibilním počítači.
V několika následujících krocích se dozvíte více o Suricatě a její instalaci a přizpůsobení. Instalace je jednoduchý proces a lze ji provést během několika minut. Začněme!
Předpoklady
- Nová instalace Debianu 11
- Uživatelská práva:uživatel root nebo uživatel bez oprávnění root s právy sudo
- VPS s alespoň 4 GB paměti RAM (náš plán SSD 4 VPS)
Aktualizujte systém
Aby byl náš systém před instalací aktuální, aktualizujeme jej příkazem níže:
sudo apt update -y && sudo apt upgrade -y
Nainstalovat Suricata
Jakmile je systém aktualizován na nejnovější verze, dalším krokem je instalace balíčku Suricata přes. Balíček Suricata je již součástí Debianu 11, takže nepotřebujeme importovat žádné balíčky, abychom mohli provést pouze následující příkaz:
sudo apt install suricata -y
Po dokončení instalace spusťte službu následujícím příkazem:
sudo systemctl start suricata
Chcete-li službu povolit automaticky, spusťte po restartu systému příkaz:
sudo systemctl enable suricata
Chcete-li zkontrolovat stav služby a ověřit, že je vše v pořádku, spusťte příkaz níže:
sudo systemctl status suricata
Měli byste obdržet výstup, jak je popsáno níže:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
Ve výchozím nastavení je instalace Suricata nakonfigurována pouze pro protokolování provozu a nezabrání žádnému poklesu. Tento režim se nazývá režim Suricata IDS a pokud jej chcete změnit podle typu vašeho provozu, budete muset použít režim Suricata IPS. Změny pro přizpůsobení Suricata lze provést otevřením „/etc/suricata/suricata.yaml ” ve vašem oblíbeném editoru.
V několika následujících nadpisech si vysvětlíme, jaké změny by měly být provedeny po instalaci Suricaty a její výchozí konfiguraci. Jinými slovy, přizpůsobíme výchozí instalaci Suricata.
Povolení ID toku komunity
ID toku komunity se používá, když plánujete používat Suricata s nástroji, jako je Zeek nebo Elasticsearch.
Chcete-li povolit ID toku komunity, otevřete soubor „suricata.yaml“, najděte řádek s „id komunity“ a nastavte jej na hodnotu true.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Opětovné načítání pravidel
S obnovením živého pravidla Suricata můžete přidávat, upravovat a odstraňovat pravidla bez restartování „suricata.service “. Chcete-li povolit tuto možnost, otevřete „suricata.yaml soubor a v dolní části přidejte následující řádky:
detect-engine: - rule-reload: true
Síťové rozhraní
Výchozí síťové rozhraní, které Suricata používá a kontroluje provoz, je „eth0 “. Pokud chcete toto přepsat, aby Suricata mohla kontrolovat provoz na jiném síťovém rozhraní, otevřete „suricata.yaml a najděte „- rozhraní:výchozí“. Jakmile jej najdete, přidejte před tento řádek následující řádky, jak je popsáno níže:
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
V tomto příkladu jsme přidali „enp0s1 ” jako síťové rozhraní a číslo clusteru 98. Upozorňujeme, že číslo clusteru by mělo být v tomto souboru jedinečné.
Soubory pravidel Suricata
Omezená sada pravidel detekce obsažená v Suricata se nachází na /etc/suricata/rules adresář. Chcete-li načíst sady pravidel od externích poskytovatelů, musíte provést příkaz pomocí nástroje aktualizace, který Suricata obsahuje:
sudo suricata-update -o /etc/suricata/rules
Měli byste obdržet následující výstup:
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Otestujte konfiguraci
Na konci, když je vše nastaveno, jako je síťové rozhraní, ID toku komunity a pravidla, můžeme zkontrolovat konfiguraci Suricata, zda je vše v pořádku, provedením příkazu níže:
suricata -T /etc/suricata/suricata.yaml
Měli byste obdržet výstup, jak je popsáno níže:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
A je to. Úspěšně jste nainstalovali a nakonfigurovali nástroj Suricata Network Security Tool na Debianu 11. Pokud se vám zdá jeho použití obtížné, můžete kontaktovat naše administrátory a oni vám jej nakonfigurují. Jsme k dispozici 24/7.
Pokud se vám tento příspěvek o tom, jak nainstalovat Suricata na Debian 11, líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.