Suricata es un motor de detección de amenazas de red robusto, de código abierto y gratuito desarrollado por Open Security Foundation. Es capaz de detección de intrusiones en tiempo real, prevención de intrusiones y monitoreo de seguridad de la red. Suricata viene con un poderoso conjunto de reglas que inspecciona el tráfico de la red y detecta amenazas complejas. Es compatible con todos los principales sistemas operativos, incluidos Linux, Windows, FreeBSD y macOS, y también es compatible con IPv4, IPv6, SCTP, ICMPv4, ICMPv6 y GRE.
En este tutorial, le mostraremos cómo instalar y configurar Suricata IDS en Ubuntu 20.04.
Requisitos
- Un Ubuntu 20.04 VPS nuevo en Atlantic.net Cloud Platform
- Una contraseña de root está configurada en su servidor
Paso 1:crear el servidor en la nube de Atlantic.Net
Primero, inicie sesión en su servidor en la nube de Atlantic.Net. Cree un nuevo servidor, eligiendo Ubuntu 20.04 como sistema operativo, con al menos 2 GB de RAM. Conéctese a su servidor en la nube a través de SSH e inicie sesión con las credenciales resaltadas en la parte superior de la página.
Una vez que haya iniciado sesión en su servidor Ubuntu 20.04, ejecute el siguiente comando para actualizar su sistema base con los últimos paquetes disponibles.
apt-get update -y
Paso 2:instalar las dependencias requeridas
Primero, deberá instalar algunas dependencias necesarias para compilar Suricata desde la fuente. Puede instalarlos todos con el siguiente comando:
apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config -y
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 -y
Una vez que todos los paquetes estén instalados, deberá instalar la herramienta de actualización de suricata para actualizar las reglas de Suricata. Puede instalarlo con los siguientes comandos:
apt-get install python3-pip pip3 install --upgrade suricata-update ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
Una vez que haya terminado, puede continuar con el siguiente paso.
Paso 3:instalar Suricata
Primero, descargue la última versión de Suricata desde su sitio web oficial con el siguiente comando:
wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz
Una vez que se complete la descarga, extraiga el archivo descargado con el siguiente comando:
tar -xvzf suricata-5.0.3.tar.gz
A continuación, cambie el directorio al directorio extraído y configúrelo con el siguiente comando:
cd suricata-5.0.3 ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
A continuación, instale Suricata con el siguiente comando:
make make install-full
Nota :Este proceso tomará más de 10 minutos
A continuación, instale todas las reglas con el siguiente comando:
make install-rules
Puedes verlo con el siguiente comando:
cat /var/lib/suricata/rules/suricata.rules
Paso 4:Configurar Suricata
El archivo de configuración predeterminado de Suricata se encuentra en /etc/suricata/suricata.yaml. Deberá configurarlo para proteger su red interna. Puedes hacerlo editando el archivo:
nano /etc/suricata/suricata.yaml
Cambie las siguientes líneas:
HOME_NET: "[192.168.1.0/24]" EXTERNAL_NET: "!$HOME_NET"
Guarde y cierre el archivo cuando haya terminado.
Paso 5:Probar Suricata contra DDoS
Antes de comenzar, deberá deshabilitar las funciones de descarga de paquetes en la interfaz de red en la que escucha Suricata.
Primero, instale el paquete ethtool con el siguiente comando:
apt-get install ethtool -y
A continuación, deshabilite la descarga de paquetes con el siguiente comando:
ethtool -K eth0 gro off lro off
A continuación, ejecute Suricata en modo NFQ con el siguiente comando:
suricata -c /etc/suricata/suricata.yaml -q 0 &
A continuación, vaya al sistema remoto y realice una prueba de ataque DDoS simple contra el servidor de Suricata utilizando la herramienta hping3 como se muestra a continuación:
hping3 -S -p 80 --flood --rand-source your-server-ip
En el servidor de Suricata, verifique los registros de Suricata con el siguiente comando:
tail -f /var/log/suricata/fast.log
Debería ver el siguiente resultado:
09/17/2020-07:29:52.934009 [**] [1:2402000:5670] ET DROP Dshield Block Listed Source group 1 [**] [Classification: Misc Attack] [Priority: 2] {TCP} 167.248.133.70:18656 -> your-server-ip:9407 Conclusión
¡Felicidades! Ha instalado y configurado correctamente Suricata IDS e IPS en el servidor Ubuntu 20.04. Ahora puede explorar Suricata y crear sus propias reglas para proteger su servidor del ataque DDoS. Comience con Suricata en VPS Hosting de Atlantic.Net y, para obtener más información, visite la página de documentación de Suricata.