GNU/Linux >> Linux Esercitazione >  >> Linux

Come installare e configurare Suricata IDS su Ubuntu 20.04

Suricata è un potente motore di rilevamento delle minacce di rete gratuito, open source, sviluppato dalla Open Security Foundation. È in grado di rilevare le intrusioni in tempo reale, prevenire le intrusioni e monitorare la sicurezza della rete. Suricata viene fornito con un potente set di regole che ispeziona il traffico di rete e rileva minacce complesse. Supporta tutti i principali sistemi operativi inclusi Linux, Windows, FreeBSD e macOS e supporta anche IPv4, IPv6, SCTP, ICMPv4, ICMPv6 e GRE.

In questo tutorial, ti mostreremo come installare e configurare Suricata IDS su Ubuntu 20.04.

Prerequisiti

  • Un nuovo VPS Ubuntu 20.04 sulla piattaforma Atlantic.net Cloud
  • Sul tuo server è configurata una password di root

Fase 1:crea un server cloud Atlantic.Net

Per prima cosa, accedi al tuo server Atlantic.Net Cloud. Crea un nuovo server, scegliendo Ubuntu 20.04 come sistema operativo, con almeno 2GB di RAM. Collegati al tuo Cloud Server tramite SSH e accedi utilizzando le credenziali evidenziate in alto nella pagina.

Dopo aver effettuato l'accesso al tuo server Ubuntu 20.04, esegui il comando seguente per aggiornare il tuo sistema di base con gli ultimi pacchetti disponibili.

apt-get update -y

Passaggio 2:installazione delle dipendenze richieste

Innanzitutto, dovrai installare alcune dipendenze necessarie per compilare Suricata dal sorgente. Puoi installarli tutti con il seguente comando:

apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config -y
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 -y

Una volta installati tutti i pacchetti, sarà necessario installare lo strumento di aggiornamento suricata per aggiornare le regole di Suricata. Puoi installarlo con i seguenti comandi:

apt-get install python3-pip
pip3 install --upgrade suricata-update
ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update

Una volta terminato, puoi procedere al passaggio successivo.

Fase 3 – Installa Suricata

Innanzitutto, scarica l'ultima versione di Suricata dal loro sito Web ufficiale con il seguente comando:

wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz

Una volta completato il download, estrai il file scaricato con il seguente comando:

tar -xvzf suricata-5.0.3.tar.gz

Quindi, cambia la directory nella directory estratta e configurala con il seguente comando:

cd suricata-5.0.3
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Quindi, installa Suricata con il seguente comando:

make
make install-full

Nota :questo processo richiederà più di 10 minuti

Quindi, installa tutte le regole con il seguente comando:

make install-rules

Puoi vederlo con il seguente comando:

cat /var/lib/suricata/rules/suricata.rules

Fase 4 – Configura Suricata

Il file di configurazione predefinito di Suricata si trova in /etc/suricata/suricata.yaml. Dovrai configurarlo per proteggere la tua rete interna. Puoi farlo modificando il file:

nano /etc/suricata/suricata.yaml

Modifica le seguenti righe:

    HOME_NET: "[192.168.1.0/24]"
    EXTERNAL_NET: "!$HOME_NET"

Salva e chiudi il file quando hai finito.

Nota: Nel comando precedente, sostituisci 192.168.1.0/24 con la tua rete interna.

Fase 5:prova Suricata contro gli attacchi DDoS

Prima di iniziare, dovrai disabilitare le funzionalità di scaricamento dei pacchetti sull'interfaccia di rete su cui Suricata è in ascolto.

Innanzitutto, installa il pacchetto ethtool con il seguente comando:

apt-get install ethtool -y

Quindi, disabilita l'offload dei pacchetti con il seguente comando:

ethtool -K eth0 gro off lro off

Quindi, esegui Suricata in modalità NFQ con il seguente comando:

suricata -c /etc/suricata/suricata.yaml -q 0 &

Quindi, vai al sistema remoto ed esegui un semplice test di attacco DDoS contro il server Suricata utilizzando lo strumento hping3 come mostrato di seguito:

hping3 -S -p 80 --flood --rand-source your-server-ip

Sul server Suricata, controlla i log di Suricata con il seguente comando:

tail -f /var/log/suricata/fast.log

Dovresti vedere il seguente output:

09/17/2020-07:29:52.934009  [**] [1:2402000:5670] ET DROP Dshield Block Listed Source group 1 [**] [Classification: Misc Attack] [Priority: 2] {TCP} 167.248.133.70:18656 -> your-server-ip:9407

Conclusione

Congratulazioni! Hai installato e configurato correttamente Suricata IDS e IPS sul server Ubuntu 20.04. Ora puoi esplorare Suricata e creare le tue regole per proteggere il tuo server dagli attacchi DDoS. Inizia con Suricata su VPS Hosting da Atlantic.Net e, per ulteriori informazioni, visita la pagina della documentazione di Suricata.


Linux

  1. Come installare e configurare Universal Media Server in Ubuntu 20.04

  2. Come installare e configurare Discourse su un VPS Ubuntu 12.04

  3. Come installare e configurare Fail2ban su Ubuntu?

  4. Come installare e configurare Elasticsearch su Ubuntu 18.04

  5. Come installare VSFTP su Ubuntu 20.04

Come installare ScreenCloud su Ubuntu 16.04 e Ubuntu 17.04

Come installare e configurare Apache Spark su Ubuntu 21.04

Come installare e configurare Zsh in Ubuntu 20.04

Come installare Gtop in CentOS7 e Ubuntu 18.04

Come installare Grafana su Ubuntu 18.04 e Debian 8

Come installare e configurare Sendmail su Ubuntu