Suricata è uno strumento di rilevamento delle minacce di rete open source con funzionalità come rilevamento delle intrusioni, prevenzione delle intrusioni e monitoraggio della sicurezza della rete. Eccelle nell'ispezione approfondita dei pacchetti e nella corrispondenza dei modelli, il che lo rende uno strumento prezioso per rilevare minacce e attacchi.
Suricata può generare registri, interrompere il traffico e attivare avvisi nel caso in cui nella rete siano presenti pacchetti sospetti.
Qui a LinuxAPT, come parte dei nostri servizi di gestione del server, aiutiamo regolarmente i nostri clienti a eseguire le relative query di installazione del software del sistema Ubuntu Linux.
In questo contesto, esamineremo la procedura di installazione completa di Suricata IDS su Ubuntu 20.04.
Passaggi per installare Suricata IDS su Ubuntu 20.04 LTS (Focal Fossa)
1. Esegui l'aggiornamento del sistema
Per iniziare, assicurati che i tuoi pacchetti di sistema siano aggiornati eseguendo il comando seguente:
$ sudo apt update
2. Aggiungi Suricata Repository
L'ultima versione stabile di Suricata è disponibile nel repository PPA gestito da OISF. Pertanto, aggiungeremo il repository Suricata sul tuo sistema Ubuntu:
$ sudo add-apt-repository ppa:oisf/suricata-stable
Successivamente, aggiorna l'indice del pacchetto del tuo sistema:
$ sudo apt update
Con il PPA in posizione, vai al passaggio successivo e installa Suricat IDS.
3. Installa Suricata
Per installare Suricata esegui il comando:
$ sudo apt install suricata
Con l'installazione di Suricata, facciamo un ulteriore passo avanti e consentiamo l'avvio all'avvio:
$ sudo systemctl enable suricata.service
Quindi, assicurati che l'installazione sia andata a buon fine eseguendo il comando seguente:
$ sudo suricata –build-info
Conferma che il servizio systemd di Suricata è in esecuzione:
$ sudo systemctl status suricata
L'output conferma che Suricata è attivo e funzionante su Ubuntu 20.04
Come configurare Suricata su Ubuntu?
Il file di configurazione di Suricata si trova nel percorso /etc/suricata/suricata.yaml. Per la configurazione di base, dobbiamo configurare Suricata per la tua rete interna ed esterna. Apri il file di configurazione con il comando seguente:
$ sudo vim /etc/suricata/suricata.yaml
Quindi, specifica l'indirizzo IP per la variabile HOME_NET. In questo caso, il nostro indirizzo IP è 192.168.100.1. La variabile HOME_NET è l'indirizzo IP della rete locale o dell'interfaccia che si desidera monitorare. Quindi, definisci il valore per EXTERN_NET come qualsiasi rete che non sia il tuo indirizzo IP locale.
Quindi, vai alla sezione af-packet nel file di configurazione e cambia il nome dell'interfaccia in modo che rifletta l'interfaccia di rete scelta.
Come impostare le regole di Suricata?
Suricata ti consente di creare regole di rete o firme in base alle tue esigenze. Le regole più comuni includono Emerging Threats e Emerging Threats Pro.
Il file delle regole si trova nella directory /etc/suricata/rules/. Per visualizzare i contenuti esegui:
$ ls /etc/suricata/rules/
Per installare il set di regole Emerging Threats Open, esegui:
$ sudo suricata-update
Questo installerà le regole nella directory /var/lib/suricata/rules/.
Come si esegue Suricata?
Dopo aver installato tutte le regole, puoi riavviare il servizio Suricata IDS con il comando seguente:
$ sudo systemctl restart suricata
Puoi anche controllare i registri di Suricata con il comando seguente:
$ sudo tail /var/log/suricata/suricata.log