Suricata je bezplatný, open source, robustní nástroj pro detekci síťových hrozeb vyvinutý Open Security Foundation. Je schopen detekce narušení v reálném čase, prevence narušení a monitorování zabezpečení sítě. Suricata přichází s výkonnou sadou pravidel, která kontroluje síťový provoz a detekuje složité hrozby. Podporuje všechny hlavní operační systémy včetně Linuxu, Windows, FreeBSD a macOS a také podporuje IPv4, IPv6, SCTP, ICMPv4, ICMPv6 a GRE.
V tomto tutoriálu vám ukážeme, jak nainstalovat a nakonfigurovat Suricata IDS na Ubuntu 20.04.
Předpoklady
- Nové Ubuntu 20.04 VPS na cloudové platformě Atlantic.net
- Na vašem serveru je nakonfigurováno heslo uživatele root
Krok 1 – Vytvořte cloudový server Atlantic.Net
Nejprve se přihlaste ke svému cloudovému serveru Atlantic.Net. Vytvořte nový server a jako operační systém vyberte Ubuntu 20.04 s alespoň 2 GB RAM. Připojte se ke svému cloudovému serveru přes SSH a přihlaste se pomocí přihlašovacích údajů zvýrazněných v horní části stránky.
Jakmile se přihlásíte ke svému serveru Ubuntu 20.04, spusťte následující příkaz a aktualizujte svůj základní systém nejnovějšími dostupnými balíčky.
apt-get update -y
Krok 2 – Instalace požadovaných závislostí
Nejprve budete muset nainstalovat některé závislosti potřebné pro kompilaci Suricaty ze zdroje. Všechny je můžete nainstalovat pomocí následujícího příkazu:
apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config -y
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 -y
Jakmile jsou všechny balíčky nainstalovány, budete muset nainstalovat nástroj suricata-update pro aktualizaci pravidel Suricata. Můžete jej nainstalovat pomocí následujících příkazů:
apt-get install python3-pip pip3 install --upgrade suricata-update ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
Jakmile budete hotovi, můžete přejít k dalšímu kroku.
Krok 3 – Instalace Suricata
Nejprve si stáhněte nejnovější verzi Suricaty z jejich oficiálních stránek pomocí následujícího příkazu:
wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz
Po dokončení stahování rozbalte stažený soubor pomocí následujícího příkazu:
tar -xvzf suricata-5.0.3.tar.gz
Dále změňte adresář na extrahovaný adresář a nakonfigurujte jej pomocí následujícího příkazu:
cd suricata-5.0.3 ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Dále nainstalujte Suricata pomocí následujícího příkazu:
make make install-full
Poznámka :Tento proces bude trvat více než 10 minut
Dále nainstalujte všechna pravidla pomocí následujícího příkazu:
make install-rules
Můžete to vidět pomocí následujícího příkazu:
cat /var/lib/suricata/rules/suricata.rules
Krok 4 – Konfigurace Suricata
Výchozí konfigurační soubor Suricata je umístěn na /etc/suricata/suricata.yaml. Budete jej muset nakonfigurovat, abyste chránili svou interní síť. Můžete to udělat úpravou souboru:
nano /etc/suricata/suricata.yaml
Změňte následující řádky:
HOME_NET: "[192.168.1.0/24]" EXTERNAL_NET: "!$HOME_NET"
Po dokončení uložte a zavřete soubor.
Poznámka: Ve výše uvedeném příkazu nahraďte 192.168.1.0/24 s vaší interní sítí.
Krok 5 – Otestujte Suricata proti DDoS
Než začnete, budete muset zakázat funkce snižování zátěže paketů na síťovém rozhraní, na kterém Suricata naslouchá.
Nejprve nainstalujte balíček ethtool pomocí následujícího příkazu:
apt-get install ethtool -y
Dále zakažte stahování paketů pomocí následujícího příkazu:
ethtool -K eth0 gro off lro off
Dále spusťte Suricata v režimu NFQ pomocí následujícího příkazu:
suricata -c /etc/suricata/suricata.yaml -q 0 &
Dále přejděte do vzdáleného systému a proveďte jednoduchý test útoku DDoS proti serveru Suricata pomocí nástroje hping3, jak je znázorněno níže:
hping3 -S -p 80 --flood --rand-source your-server-ip
Na serveru Suricata zkontrolujte protokoly Suricata pomocí následujícího příkazu:
tail -f /var/log/suricata/fast.log
Měli byste vidět následující výstup:
09/17/2020-07:29:52.934009 [**] [1:2402000:5670] ET DROP Dshield Block Listed Source group 1 [**] [Classification: Misc Attack] [Priority: 2] {TCP} 167.248.133.70:18656 -> your-server-ip:9407 Závěr
Gratulujeme! Úspěšně jste nainstalovali a nakonfigurovali Suricata IDS a IPS na serveru Ubuntu 20.04. Nyní můžete prozkoumat Suricata a vytvořit si vlastní pravidla pro ochranu vašeho serveru před útokem DDoS. Začněte se Suricatou na VPS Hosting od Atlantic.Net a pro více informací navštivte stránku dokumentace Suricata.