Come installare e configurare Suricata IDS insieme a Elastic Stack su Rocky Linux 8

Con il caricamento in tempo reale abilitato, puoi utilizzare il comando seguente per ricaricare le regole senza riavviare il processo Suricata.

$ sudo kill -usr2 $(pidof suricata)

Il $(pidof suricata) flag individua l'ID processo del processo Suricata. Il -usr2 parte dell'kill il comando invia un SIGUSR2 segnale al processo di Suricata. Il SIGUSR2 signal è configurato con Suricata per ricaricare le regole.

Al termine, salva il file premendo Ctrl + X e inserendo Y quando richiesto.

Configura i permessi della directory

Suricata ha creato automaticamente un utente di sistema e un gruppo denominato suricata durante il processo di installazione. È necessario fornire le autorizzazioni di directory appropriate affinché l'installazione funzioni correttamente.

Esegui il comando seguente per impostare suricata come il gruppo per le directory di Suricata.

$ sudo chgrp -R suricata /etc/suricata$ sudo chgrp -R suricata /var/lib/suricata/rules$ sudo chgrp -R suricata /var/lib/suricata/update$ sudo chgrp -R suricata /var/ log/suricata 

Imposta i permessi del gruppo per la lettura e la scrittura.

$ sudo chmod -R g+r /etc/suricata/$ sudo chmod -R g+rw /var/lib/suricata/rules$ sudo chmod -R g+rw /var/lib/suricata/update$ sudo chmod -R g+rw /var/log/suricata

Aggiungi il tuo nome utente attuale a suricata gruppo in modo da poter eseguire le operazioni direttamente senza bisogno di sudo.

$ sudo usermod -a -G suricata $USER

Per applicare la nuova appartenenza al gruppo, esci dal server e riconnettiti oppure digita quanto segue:

$ su - ${USER}

Ti verrà richiesto di inserire la password dell'utente per continuare.

Conferma che il tuo utente è ora aggiunto a suricata raggruppare digitando:

$ id -nnomeutente sudo suricata

Fase 3 - Configura le regole di Suricata

Suricata, per impostazione predefinita, utilizza solo un insieme limitato di regole per rilevare il traffico di rete. Puoi aggiungere più set di regole da provider esterni utilizzando uno strumento chiamato suricata-update . Esegui il comando seguente per includere regole aggiuntive.

$ suricata-update16/2/2022 -- 07:00:16 -  -- Using data-directory /var/lib/suricata.16/2/2022 -- 07:00:16 -  -- Utilizzo della configurazione di Suricata /etc/suricata/suricata.yaml16/2/2022 -- 07:00:16 -  -- Utilizzo di /usr/share/suricata/rules per le regole fornite da Suricata...... 16/2/2022 -- 07:00:16 -  -- Nessuna fonte configurata, utilizzerà Emerging Threats Open('https://rules.emergingthreats.net/open/suricata-6.0.4/emerging.rules .tar.gz', None, True)16/2/2022 -- 07:00:16 -  -- Controllo https://rules.emergingthreats.net/open/suricata-6.0.4/emerging.rules .tar.gz.md5.16/2/2022 -- 07:00:16 -  -- Recupero https://rules.emergingthreats.net/open/suricata-6.0.4/emerging.rules.tar. gz. 100% - 3162050/3162050.....16/2/2022 -- 07:00:23 -  -- Scrivere regole in /var/lib/suricata/rules/suricata.rules:total:32004; abilitato:24611; aggiunto:8; rimosso 1; modificato:121816/2/2022 -- 07:00:23 -  -- Scrittura /var/lib/suricata/rules/classification.config16/2/2022 -- 07:00:23 -  -- Test con suricata -T.16/2/2022 -- 07:01:16 -  -- Fatto.

Aggiungi provider di set di regole

Puoi espandere le regole di Suricata aggiungendo più provider. Può recuperare le regole da una varietà di fornitori gratuiti e commerciali.

È possibile elencare l'elenco di provider predefinito utilizzando il comando seguente.

$ suricata-update list-sources

Ad esempio, se vuoi includere il tgreen/hunting set di regole, puoi abilitarlo con il seguente comando.

$ suricata-update enable-source tgreen/hunting

Esegui l'suricata-update comando di nuovo per scaricare e aggiornare le nuove regole.

Fase 4:convalida della configurazione di Suricata

Suricata viene fornito con uno strumento di convalida per verificare la presenza di errori nel file di configurazione e nelle regole. Esegui il comando seguente per eseguire lo strumento di convalida.

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v22/2/2022 -- 23:20:10 -  - Esecuzione di suricata in modalità test22/2/2022 -- 23:20 :10 -  - Questa è Suricata versione 6.0.4 RELEASE in esecuzione in modalità SISTEMA22/2/2022 -- 23:20:10 -  - CPU/core online:222/2/2022 -- 23:20 :10 -  - eliminato il cappuccio per il thread principale22/2/2022 -- 23:20:10 -  - dispositivo di output rapido (normale) inizializzato:fast.log22/2/2022 -- 23:20:10 -  - dispositivo di output eve-log (normale) inizializzato:eve.json22/2/2022 -- 23:20:10 -  - dispositivo di output statistiche (normale) inizializzato:stats.log22/2/2022 -- 23:20:21 -  - 1 file di regole elaborato. 24611 regole caricate correttamente, 0 regole non riuscite22/2/2022 -- 23:20:21 -  - Configurazione soglia analizzata:0 regole trovate22/2/2022 -- 23:20:21 -  - 24614 firme elaborate. 1216 sono regole solo IP, 4120 stanno ispezionando il payload del pacchetto, 19074 ispezionano il livello dell'applicazione, 108 sono solo eventi del decoder22/2/2022 -- 23:21:02 -  - La configurazione fornita è stata caricata correttamente. Exiting.22/2/2022 -- 23:21:03 -  - pulizia della struttura del raggruppamento delle firme... completa

Il -T flag indica a Suricata di essere eseguito in modalità test, il -c flag configura la posizione del file di configurazione e il -v flag stampa l'output dettagliato del comando. A seconda della configurazione del tuo sistema e del numero di regole aggiunte, il completamento del comando può richiedere alcuni minuti.

Fase 5 - Esecuzione di Suricata

Ora che Suricata è configurato e configurato, è il momento di eseguire l'applicazione.

$ sudo systemctl start suricata

Controlla lo stato del processo.

$ sudo systemctl status suricata

Dovresti vedere il seguente output se tutto funziona correttamente.

? suricata.service - Suricata Intrusion Detection Service Caricato:caricato (/usr/lib/systemd/system/suricata.service; abilitato; preimpostazione del fornitore:disabilitato) Attivo:attivo (in esecuzione) da mer 16-02-2022 07:14:22 UTC; 32min fa Documenti:man:suricata(1) Processo:1494 ExecStartPre=/bin/rm -f /var/run/suricata.pid (code=exited, status=0/SUCCESS) PID principale:1496 (Suricata-Main) Compiti :8 (limite:23479) Memoria:367.5M CGroup:/system.slice/suricata.service ??1496 /sbin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid - i eth0 --user suricataFeb 16 07:14:22 suricata systemd[1]:Avvio del servizio di rilevamento delle intrusioni di Suricata...Feb 16 07:14:22 suricata systemd[1]:Avvio del servizio di rilevamento delle intrusioni di Suricata.

Il processo può richiedere alcuni minuti per completare l'analisi di tutte le regole. Pertanto, il controllo dello stato di cui sopra non è un'indicazione completa del fatto che Suricata sia attivo e pronto. Puoi monitorare il file di registro per quello usando il seguente comando.

$ sudo tail -f /var/log/suricata/suricata.log

Se vedi la seguente riga nel file di registro, significa che Suricata è in esecuzione e pronto per monitorare il traffico di rete.

16/02/2022 -- 07:18:39 -  - Tutti i thread di acquisizione AFP sono in esecuzione.

Fase 6 - Test delle regole di Suricata

Verificheremo se Suricata sta rilevando traffico sospetto. La guida Suricata consiglia di testare la regola ET Open numero 2100498 usando il comando seguente.

$ curl http://testmynids.org/uid/index.html

Riceverai la seguente risposta.

uid=0(radice) gid=0(radice) gruppi=0(radice)

Il comando precedente pretende di restituire l'output di id comando che può essere eseguito su un sistema compromesso. Per verificare se Suricata ha rilevato il traffico, è necessario controllare il file di registro utilizzando il numero di regola specificato.

$ grep 2100498 /var/log/suricata/fast.log

Se la tua richiesta utilizzava IPv6, dovresti vedere il seguente output.

22/02/2022-23:24:33.997371 [**] [1:2100498:7] GPL ATTACK_RESPONSE controllo ID restituito root [**] [Classificazione:traffico potenzialmente negativo] [Priorità:2] {TCP} 2600:9000:2204:5c00:0018:30b3:e400:93a1:80 -> 2a03:b0c0:0002:00d0:0000:0000:0fc2:b001:41468

Se la tua richiesta utilizzava IPv4, vedresti il ​​seguente output.

22/02/2022-23:21:46.783476 [**] [1:2100498:7] GPL ATTACK_RESPONSE controllo ID restituito root [**] [Classificazione:traffico potenzialmente negativo] [Priorità:2] {TCP} 204.246.178.81:80 -> 164.90.192.1:36364

Suricata registra anche gli eventi in /var/log/suricata/eve.log file utilizzando il formato JSON. Per leggere e interpretare queste regole, devi installare jq che non rientra nell'ambito di questo tutorial.

Abbiamo finito con la prima parte del tutorial, in cui abbiamo installato Suricata e l'abbiamo testato. La parte successiva prevede l'installazione dello stack ELK e l'impostazione per visualizzare Suricata e i suoi log. Questa seconda parte del tutorial dovrebbe essere eseguita sul secondo server se non diversamente specificato.

Passaggio 7:installazione di Elasticsearch e Kibana

Il primo passaggio nell'installazione di Elasticsearch prevede l'aggiunta della chiave GPG elastica al tuo server.

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Crea un repository per il pacchetto Elasticsearch creando e aprendo il file /etc/yum/yum.repos.d/elasticsearch.repo per la modifica.

$ sudo nano /etc/yum.repos.d/elasticsearch.repo

Incolla il seguente codice al suo interno.

[elasticsearch]name=repository Elasticsearch per packagesbaseurl 7.x=https://artifacts.elastic.co/packages/7.x/yumgpgcheck=1gpgkey=https://artifacts.elastic.co/GPG-KEY- elasticsearchenabled=0autorefresh=1type=rpm-md

Salva il file premendo Ctrl + X e inserendo Y quando richiesto.

Installa Elasticsearch e Kibana.

$ sudo dnf install --enablerepo=elasticsearch elasticsearch kibana

Devi usare il flag --enablerepo=elasticsearch ogni volta da allora, abbiamo mantenuto il repository disabilitato per impostazione predefinita. Ciò impedisce l'aggiornamento accidentale di questi pacchetti.

Individua l'indirizzo IP privato del tuo server utilizzando il seguente comando.

$ ip -breve indirizzo showlo UNKNOWN 127.0.0.1/8 ::1/128eth0 UP 164.90.205.77/20 10.18.0.7/16 2a03:b0c0:2:d0::fef:b001/64 fe80::340a:6eff:fe5c:76ed/64eth1 UP 10.133.0.3/16 fe80::906f:b5ff:fec4:c7b8/64

Annota l'IP privato del tuo server (10.133.0.3 in questo caso). Lo chiameremo your_private_IP . L'indirizzo IP pubblico del server (164.90.205.77) sarà indicato come your_public_IP nel restante tutorial. Inoltre, prendi nota del nome di rete del tuo server, eth1 .

Passaggio 8 - Configura Elasticsearch

Elasticsearch memorizza la sua configurazione in /etc/elasticsearch/elasticsearch.yml file. Apri il file per la modifica.

$ sudo nano /etc/elasticsearch/elasticsearch.yml

Elasticsearch accetta solo connessioni locali per impostazione predefinita. Dobbiamo cambiarlo in modo che Kibana possa accedervi tramite l'indirizzo IP privato.

Trova la riga #network.host: 192.168.0.1 e aggiungi la seguente riga subito sotto, come mostrato di seguito.

# Per impostazione predefinita, Elasticsearch è accessibile solo su localhost. Imposta un indirizzo# diverso qui per esporre questo nodo sulla rete:##network.host:192.168.0.1network.bind_host:["127.0.0.1", "your_private_IP"]## Per impostazione predefinita, Elasticsearch ascolta il traffico HTTP sul primo porta libera trova # a partire da 9200. Imposta una porta HTTP specifica qui:

Ciò garantirà che Elastic possa ancora accettare connessioni locali pur essendo disponibile per Kibana tramite l'indirizzo IP privato.

Il passaggio successivo consiste nell'attivare alcune funzionalità di sicurezza e assicurarsi che Elastic sia configurato per l'esecuzione su un singolo nodo. Per farlo, aggiungi le seguenti righe alla fine del file.

$ sudo firewall-cmd --permanent --zone=internal --change-interface=eth1$ sudo firewall-cmd --permanent --zone=internal --add-service=elasticsearch$ sudo firewall-cmd -- permanente --zone=internal --add-service=kibana$ sudo firewall-cmd --reload

$ sudo systemctl avvia elasticsearch

$ cd /usr/share/elasticsearch/bin$ sudo ./elasticsearch-setup-passwords auto

Avvio della configurazione delle password per gli utenti riservati elastic,apm_system,kibana,kibana_system,logstash_system,beats_system,remote_monitoring_user.Le password verranno generate casualmente e stampate sulla console.Conferma di voler continuare [s/n] Password yChanged per l'utente apm_systemPASSWORD apm_system =EtwMg8maU67o5tvD5rseChanged password per l'utente kibana_systemPASSWORD kibana_system =dTanR7Q2HtgDtATRvuJvChanged password per l'utente kibanaPASSWORD Kibana =dTanR7Q2HtgDtATRvuJvChanged password per l'utente logstash_systemPASSWORD logstash_system =XGSjxNktuNMWVfGYiboxChanged password per l'utente beats_systemPASSWORD beats_system =JXTr7CeHkMue608qVTQaChanged password per l'utente remote_monitoring_userPASSWORD remote_monitoring_user =Q6JTJNl3lPy0fhy6QuMPChanged password per l'utente elasticPASSWORD elastica =bd1YJfhSa8RC8SMvTIwg 

$ cd /usr/share/kibana/bin/$ sudo ./kibana-encryption-keys generate -q --force

xpack.encryptedSavedObjects.encryptionKey:0f4e5e1cf8fad1874ffed0faac6be0daxpack.reporting.encryptionKey:d435c78a4e37521e539c0e905420c9f5xpack.security.encryptionKey:7ba0e2prea02747bb90fb0f9a3c267b9> 

 Copia l'output. Apri il file di configurazione di Kibana in /etc/kibana/kibana.yml per la modifica.
 
$ sudo nano /etc/kibana/kibana.yml
 

 Incolla il codice del comando precedente alla fine del file.
 . . .# Specifica la locale da utilizzare per tutte le stringhe localizzabili, date e formati numerici.# Le lingue supportate sono le seguenti:inglese - en , per impostazione predefinita, cinese - zh-CN .#i18n.locale:"en"xpack.encryptedSavedObjects.encryptionKey :0f4e5e1cf8fad1874ffed0faac6be0daxpack.reporting.encryptionKey:d435c78a4e37521e539c0e905420c9f5xpack.security.encryptionKey:7ba0e2a02747bb90fb0f9a3c267b99ed

# Kibana è servito da un server back-end. Questa impostazione specifica la porta da utilizzare.#server.port:5601# Specifica l'indirizzo a cui si collegherà il server Kibana. Gli indirizzi IP e i nomi host sono entrambi valori validi.# Il valore predefinito è 'localhost', il che di solito significa che le macchine remote non saranno in grado di connettersi.# Per consentire connessioni da utenti remoti, impostare questo parametro su un indirizzo non di loopback.#server .host:"localhost"server.host:"tuo_IP_privato"

$ cd /usr/share/kibana/bin$ sudo ./kibana-keystore aggiungi elasticsearch.usernameInserisci il valore per elasticsearch.username:*************

$ sudo ./kibana-keystore aggiungi elasticsearch.passwordInserisci il valore per elasticsearch.password:********************

$ sudo systemctl start kibana

$ sudo systemctl status kibana

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

$ sudo nano /etc/yum.repos.d/elasticsearch.repo

[elasticsearch]name=repository Elasticsearch per packagesbaseurl 7.x=https://artifacts.elastic.co/packages/7.x/yumgpgcheck=1gpgkey=https://artifacts.elastic.co/GPG-KEY- elasticsearchenabled=0autorefresh=1type=rpm-md

$ sudo dnf install --enablerepo=elasticsearch filebeat

$ sudo nano /etc/filebeat/filebeat.yml

output.elasticsearch:# Array di host a cui connettersi. host:["your_private_IP:9200"] # Protocollo - `http` (predefinito) o `https`. #protocol:"https" # Credenziali di autenticazione:chiave API o nome utente/password. #api_key:"id:api_key" nome utente:"elastico" password:"bd1YJfhSa8RC8SMvTIwg". . .

I moduli $ sudo filebeat abilitano suricata

impostazione $ sudo filebeat

La sovrascrittura del criterio ILM è disabilitata. Imposta `setup.ilm.overwrite:true` per l'abilitazione.Configurazione dell'indice completata.Caricamento dei dashboard (Kibana deve essere in esecuzione e raggiungibile)Dashboard caricatiImpostazione di ML tramite setup --machine-learning verrà rimosso in 8.0.0. Utilizza invece l'app ML. Maggiori informazioni:https://www.elastic.co/guide/en/machine-learning/current/index.htmlNon è possibile caricare lavori ML in un Elasticsearch 8.0.0 o successivo utilizzando il Beat.Loaded configurazioni di processi di machine learningLoaded Ingest pipelines

$ sudo systemctl avvia filebeat

$ sudo systemctl status filebeat

$ ssh -L 5601:your_private_IP:5601 [email protetta]_public_IP -N

$ sudo firewall-cmd --permanent --add-service=http$ sudo firewall-cmd --permanent --add-service=https

$ sudo firewall-cmd --reload

$ sudo dnf install certbot

$ sudo certbot certonly --standalone --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [email protetta] -d kibana.example.com

$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

$ sudo mkdir -p /var/lib/letsencrypt

$ sudo nano /etc/cron.daily/certbot-renew

#!/bin/shcertbot rinnovo --cert-name kibana.example.com --webroot -w /var/lib/letsencrypt/ --post-hook "systemctl reload nginx"

$ sudo chmod +x /etc/cron.daily/certbot-renew

$ sudo dnf module install nginx:1.20

$ dnf module list nginxRocky Linux 8 - AppStreamName Stream Profiles Summarynginx 1.14 [d] common [d] nginx webservernginx 1.16 common [d] nginx webservernginx 1.18 common [d] nginx webservernginx 1.20 [e] common [d] [i] nginx webserverExtra Packages for Enterprise Linux Modular 8 - x86_64Name Stream Profiles Summarynginx mainline common nginx webservernginx 1.20 [e] common [d] [i] nginx webserver

$ nginx -vnginx version 1.20.1

$ sudo systemctl abilita nginx

$ sudo nano /etc/nginx/conf.d/kibana.conf

server { ascolta 80; ascolta [::]:80; server_name kibana.example.com; return 301 https://$host$request_uri;}server { server_name kibana.example.com; set di caratteri utf-8; ascolta 443 ssl http2; ascolta [::]:443 ssl http2; access_log /var/log/nginx/kibana.access.log; error_log /var/log/nginx/kibana.error.log; ssl_certificate /etc/letsencrypt/live/kibana.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/kibana.example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/kibana.example.com/chain.pem; ssl_session_timeout 1d; cache_sessione_ssl condivisa:MozSSL:10m; ssl_session_tickets disattivati; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE -RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; risolutore 8.8.8.8; ssl_pinzatura attiva; ssl_stapling_verify attivato; ssl_dhparam /etc/ssl/certs/dhparam.pem; location / { proxy_pass http://your_private_IP:5601; proxy_set_header Host $host; proxy_set_header X-Real-IP $indirizzo_remoto; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $schema; }}

$ sudo nano /etc/nginx/nginx.conf

nome_server_hash_bucket_size 64;

$ sudo nginx -tnginx:la sintassi del file di configurazione /etc/nginx/nginx.conf è oknginx:il test del file di configurazione /etc/nginx/nginx.conf è riuscito

$ sudo systemctl start nginx

$ sudo nano /etc/kibana/kibana.yml

server.publicBaseUrl:"https://kibana.example.com"

$ sudo systemctl restart kibana