Як встановити Suricata IDS на сервер Ubuntu 24.04

Як встановити Suricata IDS на сервер Ubuntu 24.04

 

Suricata — це IDS (Intrusion Detection System) та IPS (Intrusion Prevention System) з відкритим вихідним кодом, розроблені OSIF (open infosec foundation). Він може відстежувати та вивчати мережевий трафік і обробляти кожен пакет для виявлення шкідливої мережевої активності. Ви можете налаштувати події журналу, активувати сповіщення та навіть скинути трафік за підозрілу мережеву активність.

Цей урок покаже вам, як встановити Suricata IDS на сервер Ubuntu 24.04. Ви встановите та налаштуєте Suricata, завантажите підписи та правила ET, а потім запустите Suricata у фоновому режимі як службу systemd.

Передумови

Щоб почати з цього посібника, переконайтеся, що у вас є наступне:

  • Сервер Ubuntu 24.04.
  • Користувач без прав root і має права адміністратора.

Встановлення з вихідного коду

У цьому розділі ви дізнаєтеся, як встановити Suricata з вихідного коду, скомпілювавши його вручну у своїй системі. А перед цим ви встановите залежності пакетів для компіляції Suricata.

Спочатку виконайте наведену нижче команду, щоб оновити індекс пакетів Ubuntu та встановити залежності збірки. Введіть «Y», щоб підтвердити встановлення.

sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev

Як встановити Suricata IDS на сервер Ubuntu 24.04

Тепер перейдіть до каталогу «/usr/src» і виконайте наступну команду, щоб завантажити вихідний код Suricata та розпакувати його.

cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz

Перейдіть до каталогу ‘suricata-7.0.6‘ і налаштуйте компіляцію Suricata за допомогою наступного. Завдяки цьому ви налаштуєте та встановите двійковий файл suricata в каталог ‘/usr/bin‘, конфігурацію suricata – в ‘/etc/suricata‘, а каталог даних – в ‘/var/lib/suricata‘.

cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Як встановити Suricata IDS на сервер Ubuntu 24.04

Після завершення процесу скопіюйте та встановіть suricata за допомогою команди нижче.

sudo make && sudo make install-full

Після завершення інсталяції ви побачите наступне:

Нарешті, виконайте наведену нижче команду, щоб знайти двійковий файл ‘suricata‘ і перевірити його версію.

which suricata
suricata --build-info

У наступному виводі ви можете побачити, що suricata ‘7.0.6‘ встановлено за адресою ‘/usr/bin/suricata‘.

Як встановити Suricata IDS на сервер Ubuntu 24.04

Встановлення через репозиторій PPA

Якщо ви віддаєте перевагу встановленню Suricata через APT, вам потрібно додати репозиторій suricata PPA до вашої системи Ubuntu. Крім того, переконайтеся, що встановлено пакет ‘software-properties‘.

Додайте репозиторій PPA для suricata за допомогою наступного:

sudo add-apt-repository ppa:oisf/suricata-stable

Як встановити Suricata IDS на сервер Ubuntu 24.04

Тепер оновіть свій репозиторій індексу пакетів Ubuntu та встановіть suricata за допомогою команди ‘apt‘ нижче.

sudo apt update
sudo apt install suricata

Введіть «Y», щоб продовжити встановлення.

Як встановити Suricata IDS на сервер Ubuntu 24.04

Після завершення інсталяції перевірте двійковий файл suricata та його версію за допомогою команди нижче.

which suricata
suricata --build-info

Нижче ви можете побачити, що suricata 7.0.6 встановлюється через менеджер пакетів APT.

Як встановити Suricata IDS на сервер Ubuntu 24.04

 

Нарешті, виконайте наведену нижче команду, щоб увімкнути та зупинити службу «suricata». Вам потрібно завершити suricata перед її налаштуванням.

sudo systemctl enable suricata
sudo systemctl stop suricata

Як встановити Suricata IDS на сервер Ubuntu 24.04

Налаштування Suricata

У цьому розділі ви налаштуєте Suricata для моніторингу мережевого інтерфейсу. Suricata захоплюватиме шкідливий трафік на цільовому інтерфейсі.

Відкрийте стандартну конфігурацію Suricata ‘/etc/suricata/suricata.yaml‘ за допомогою редактора ‘nano‘.

sudo nano /etc/suricata/suricata.yaml

Якщо ви використовуєте локальну мережу, додайте підмережу домашньої мережі до змінних “HOME_NET” і “EXTERNAL_NET“.

HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"

У розділі ‘af-packet‘ змініть стандартний ‘interface‘ на ваш цільовий інтерфейс. У цьому прикладі ми будемо моніторити інтерфейс ‘enp0s3‘ за допомогою suricata.

af-packet:
 - interface: enp0s3

Додайте опцію ‘detect-engine‘ з ‘rule-reload: true‘, щоб увімкнути перезавантаження правил у реальному часі.

detect-engine:
 - rule-reload: true

Коли закінчите, збережіть файл і вийдіть з редактора.

Оновлення наборів правил Suricata

Перш ніж запускати та запускати Suricata, вам потрібно завантажити та оновити підписи та правила Suricata. Це можна зробити за допомогою командної утиліти ‘suricata-update’.

Виконайте команду «suricata-update» нижче, щоб завантажити та оновити правила suricata ET. Suricata не почнеться, коли правила ET відсутні.

sudo suricata-update

Правила suricata записуються у файл ‘/var/lib/suricata/suricata.rules‘ наступним чином:

Як встановити Suricata IDS на сервер Ubuntu 24.04

Як встановити Suricata IDS на сервер Ubuntu 24.04

 

Перевірити джерела правил можна за допомогою наступної команди:

sudo suricata-update list-sources

Бігова suricata

Тепер, коли ви налаштували Suricata, завантажили та оновили правила ET, ви протестуєте правила suricata, а потім запустите та перевірите службу “suricata”.

Щоб перевірити правила Suricata, запустіть команду ‘suricata‘ нижче. Це обробить доступні правила у файлі ‘/var/wlib/suricata/suricata.rules‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Якщо помилки немає, ви отримаєте висновок ‘suricata: Configuration provided was successfully loaded.

Як встановити Suricata IDS на сервер Ubuntu 24.04

Тепер виконайте наведену нижче команду, щоб запустити службу «suricata» у фоновому режимі та перевірити її.

sudo systemctl start suricata
sudo systemctl status suricata

У наступному виводі ви можете побачити, що служба «suricata» працює.

Як встановити Suricata IDS на сервер Ubuntu 24.04

Висновок

Вітаємо! Ви завершили встановлення Suricata IDS на сервер Ubuntu 24.04. Ви вивчили два методи встановлення Suricata: компіляцію вручну з вихідного коду та через менеджер пакетів APT. Ви також дізналися, як налаштовувати Suricata, оновлювати підписи та правила suricata, а також тестувати правила suricata.

Прокрутка до верху