Popularita Suricaty je výsledkem toho, že jde o nezávislý a open source engine pro detekci hrozeb, který je záchranou pro správce sítě, kteří hledají bezproblémový a výkonný způsob zkoumání a řízení problémů s provozem v síti. Některé z funkčních atributů Suricaty zahrnují spouštění výstrah, generování událostí protokolu a správu ohroženého příchozího provozu.
Suricata je schopen neutralizovat nejsofistikovanější síťové útoky pomocí kombinace čtyř kritických síťových funkcí:
- Zpracování PCAP
- Monitorování zabezpečení sítě (NSM)
- Detekce narušení (IDS)
- Prevence narušení (IPS)
Od Suricata používá uživatelem definované a komunitou vytvořené podpisy, jeho nasazení na hostitele síťové brány není tak složité, jak by se mohlo zdát. Po nasazení lze snadno skenovat příchozí a odchozí síťový provoz jiných systémů. Pokud dáváte přednost Suricata spustit na vašem místním/individuálním počítači, můžete jej také použít ke skenování a správě příchozího a odchozího síťového provozu.
Tento článek nás provede instalací a základní konfigurací Suricata na RHEL , CentOS , Rocky Linux a AlmaLinux Systém. Odtud byste měli mít představu o tom, jak jej používat.
Doporučené specifikace stroje pro tento článek průvodce jsou 4/8 GB RAM a alespoň 2 CPU pokud máte v úmyslu používat Suricata v produkčním prostředí. Je to proto, že Suricata potřebuje více zdrojů ke správě těžkého síťového provozu spojeného s produkčním prostředím. Na místním počítači jsou 2 CPU a 4 GB RAM ideální.
Nainstalujte Suricata v RHEL 8
Nejprve aktualizujte svůj systém a poté nainstalujte CodeReady úložiště.
$ sudo yum update $ sudo subscription-manager repos --enable codeready-builder-for-rhel-8-x86_64-rpms
Jakmile je CodeReady repozitář je povolen, musíte nainstalovat několik balíčků, které je třeba provést, než budeme moci stáhnout a nainstalovat Suricata .
$ sudo yum install diffutils file-devel gcc jansson-devel make nss-devel libyaml-devel libcap-ng-devel libpcap-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel
Dále můžete použít wget nebo curl příkaz ke stažení nejnovějšího čísla verze Suricata z jeho domovské stránky.
$ wget https://www.openinfosecfoundation.org/download/suricata-6.0.4.tar.gz OR $ curl -OL https://www.openinfosecfoundation.org/download/suricata-6.0.4.tar.gz
Nyní, když jste si stáhli kopii Suricata a protože je již archivován, musíme jej nejprve rozbalit, přejít do jeho hlavního adresáře, sestavit a poté nainstalovat.
$ tar xvf suricata-6.0.4.tar.gz $ cd suricata-6.0.4 $ sudo ./configure --sysconfdir=/etc --localstatedir=/var $ sudo make $ sudo make install $ sudo make install-conf
Vzhledem k tomu, že soubor makefile Suricata přichází s možností instalace pro IDS sady pravidel, můžeme je nainstalovat pomocí následujícího příkazu.
$ sudo make-install rules
Zkontrolujte informace o verzi instalace Suricata.
$ suricata --build-info
Nakonfigurujte Suricata v RHEL 8
Otevřete konfigurační soubor Suricata /etc/suricata/suricata.yaml .
$ sudo nano /etc/suricata/suricata.yaml
Pod vars :sekce, máme HOME_NET který ukazuje na síťové IP adresy, které vyžadují kontrolu. Tuto sekci můžete upravit pomocí preferovaných hodnot IP sítě.
Další částí souboru, která stojí za zmínku, je host-os-policy :
Tuto sekci můžete upravit pomocí příslušných IP adres založených na operačním systému a zlepšit tak obranný mechanismus Suricaty před známými vykořisťovatelskými útoky.
Testování detekce narušení Suricata
Chcete-li zjistit počet režimů běhu podporovaných Suricatou, spusťte příkaz:
$ sudo /usr/local/bin/suricata --list-runmodes
Chcete-li zobrazit Suricata v akci si nejprve poznamenejte síťové rozhraní, které vás zajímá:
$ ifconfig
Například k posouzení síťového rozhraní virbr0 podle výše uvedeného snímku obrazovky spusťte příkaz:
$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i virbr0 --init-errors-fatal
Pro rozhraní enp0s3 , výstup bude:
$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i enp0s3 --init-errors-fatal
Adresář /var/log/suricata uchovává protokoly detekce Suricaty.
$ tail -f /var/log/suricata/suricata.log
Přizpůsobení Suricata rozšíří své detekční pokrytí a výkon. Více o použití Suricaty je na její manuálové stránce.
$ man suricata
Jeho online Wiki také poskytuje širší pohled na jeho použití.