In questo tutorial, spiegheremo passo dopo passo come installare e personalizzare Suricata su Debian 11.
Suricata è uno strumento di monitoraggio della sicurezza della rete che elabora e controlla il traffico di rete. Viene utilizzato anche per generare avvisi, registri e rilevare pacchetti o richieste sospetti su qualsiasi servizio in arrivo sul server. Suricata può essere distribuito su un host server per scansionare il traffico di rete in entrata e in uscita oppure può essere utilizzato localmente su qualsiasi macchina compatibile.
Nei prossimi passaggi imparerai di più su Suricata e sulla sua installazione e personalizzazione. L'installazione è un processo semplice e può essere eseguita in pochi minuti. Iniziamo!
Prerequisiti
- Nuova installazione di Debian 11
- Privilegi utente:utente root o non root con privilegi sudo
- VPS con almeno 4 GB di RAM (il nostro piano SSD 4 VPS)
Aggiorna il sistema
Affinché il nostro sistema sia aggiornato prima dell'installazione, lo aggiorneremo con il comando seguente:
sudo apt update -y && sudo apt upgrade -y
Installa Suricata
Una volta aggiornato il sistema alle ultime versioni, il passaggio successivo consiste nell'installare Suricata tramite il pacchetto. Il pacchetto Suricata è già incluso in Debian 11, quindi non è necessario importare alcun pacchetto quindi per eseguire solo il seguente comando:
sudo apt install suricata -y
Una volta completata l'installazione, avvia il servizio con il seguente comando:
sudo systemctl start suricata
Per abilitare il servizio in automatico, avvia al riavvio del sistema, esegui il comando:
sudo systemctl enable suricata
Per controllare lo stato del servizio, e verificare che tutto sia a posto, esegui il comando seguente:
sudo systemctl status suricata
Dovresti ricevere l'output come descritto di seguito:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
Per impostazione predefinita, l'installazione di Suricata è configurata solo per registrare il traffico e non impedire la caduta. Questa modalità si chiama modalità Suricata IDS e se vuoi cambiarla in base al tipo di traffico dovrai utilizzare la modalità Suricata IPS. Le modifiche per la personalizzazione della Suricata possono essere effettuate aprendo il file “/etc/suricata/suricata.yaml ” con il tuo editor preferito.
Nei prossimi titoli, spiegheremo quali modifiche dovrebbero essere apportate dopo l'installazione di Suricata e la sua configurazione predefinita. In altre parole, personalizzeremo l'installazione predefinita di Suricata.
Abilitazione dell'ID flusso comunità
L'ID flusso della community viene utilizzato quando prevedi di utilizzare Suricata con strumenti come Zeek o Elasticsearch.
Per abilitare l'ID flusso della community, apri il file "suricata.yaml", trova la riga con "community-id" e impostalo su true.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Ricaricamento regole live
Con il ricaricamento delle regole live di Suricata puoi aggiungere, modificare e rimuovere le regole senza riavviare il “suricata.service “. Per abilitare questa opzione, apri il file “suricata.yaml file e in fondo aggiungi le seguenti righe:
detect-engine: - rule-reload: true
Interfaccia di rete
L'interfaccia di rete predefinita utilizzata da Suricata e che controlla il traffico è "eth0 “. Se desideri ignorare questo per consentire a Suricata di ispezionare il traffico su un'interfaccia di rete diversa, apri "suricata.yaml file e trova "- interfaccia:predefinita". Una volta trovato, prima di quella riga aggiungi le seguenti righe come descritto di seguito:
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
In questo esempio abbiamo aggiunto "enp0s1 ” come interfaccia di rete e il numero ID cluster 98. Tieni presente che il numero ID cluster deve essere univoco in questo file.
Set di regole Suricata
L'insieme limitato di regole di rilevamento incluse da Suricata si trova in /etc/suricata/rules directory. Per recuperare i set di regole da provider esterni è necessario eseguire il comando con lo strumento di aggiornamento che include Suricata:
sudo suricata-update -o /etc/suricata/rules
Dovresti ricevere il seguente output:
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Verifica la configurazione
Alla fine, quando tutto è impostato come interfaccia di rete, ID flusso di comunità e regole, possiamo controllare la configurazione di Suricata se è tutto a posto, eseguendo il comando seguente:
suricata -T /etc/suricata/suricata.yaml
Dovresti ricevere l'output come descritto di seguito:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
Questo è tutto. Hai installato e configurato correttamente Suricata Network Security Tool su Debian 11. Se lo trovi difficile da usare, puoi contattare i nostri amministratori e loro lo configureranno per te. Siamo disponibili 24 ore su 24, 7 giorni su 7.
Se ti è piaciuto questo post su come installare Suricata su Debian 11, condividilo con i tuoi amici sui social network usando i pulsanti a sinistra o lascia semplicemente una risposta qui sotto. Grazie.