En este tutorial, explicaremos paso a paso cómo instalar y personalizar Suricata en Debian 11.
Suricata es una herramienta de monitoreo de seguridad de red que procesa y controla el tráfico de red. También se usa para generar alertas, registros y detectar paquetes o solicitudes sospechosas en cualquier servicio que llegue a su servidor. Suricata se puede implementar en un host de servidor para escanear el tráfico de red entrante y saliente o se puede usar localmente en cualquier máquina compatible.
En los próximos pasos, aprenderá más sobre Suricata y su instalación y personalización. La instalación es un proceso sencillo y se puede realizar en unos minutos. ¡Empecemos!
Requisitos
- Instalación nueva de Debian 11
- Privilegios de usuario:usuario root o no root con privilegios sudo
- VPS con al menos 4GB de RAM (Nuestro plan SSD 4 VPS)
Actualizar el sistema
Para que nuestro sistema esté actualizado antes de la instalación, lo actualizaremos con el siguiente comando:
sudo apt update -y && sudo apt upgrade -y
Instalar Suricata
Una vez actualizado el sistema a sus últimas versiones, el siguiente paso es instalar el Suricata vía paquete. El paquete Suricata ya está incluido en Debian 11, por lo que no necesitamos importar ningún paquete para ejecutar solo el siguiente comando:
sudo apt install suricata -y
Una vez completada la instalación, inicie el servicio con el siguiente comando:
sudo systemctl start suricata
Para permitir que el servicio se inicie automáticamente al reiniciar el sistema, ejecute el comando:
sudo systemctl enable suricata
Para verificar el estado del servicio y verificar que todo esté bien, ejecute el siguiente comando:
sudo systemctl status suricata
Debería recibir el resultado como se describe a continuación:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
De manera predeterminada, la instalación de Suricata está configurada solo para registrar el tráfico y no evitar que se caiga. Este modo se llama modo Suricata IDS, y si desea cambiarlo de acuerdo con el tipo de tráfico, deberá usar el modo Suricata IPS. Los cambios para personalizar el Suricata se pueden realizar abriendo el “/etc/suricata/suricata.yaml ” con tu editor favorito.
En los próximos encabezados, explicaremos qué cambios se deben realizar después de la instalación de Suricata y su configuración predeterminada. En otras palabras, personalizaremos la instalación predeterminada de Suricata.
Habilitación de ID de flujo comunitario
El ID de flujo de la comunidad se usa cuando planea usar Suricata con herramientas como Zeek o Elasticsearch.
Para habilitar el ID de flujo de la comunidad, abra el archivo "suricata.yaml", busque la línea con "community-id" y configúrelo como verdadero.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Recarga de reglas en vivo
Con la recarga de reglas en vivo de Suricata, puede agregar, editar y eliminar las reglas sin reiniciar el “suricata.service “. Para habilitar esta opción, abra el “suricata.yaml archivo y en la parte inferior agregue las siguientes líneas:
detect-engine: - rule-reload: true
Interfaz de red
La interfaz de red predeterminada que Suricata está usando e inspeccionando el tráfico es “eth0 “. Si desea anular esto para que Suricata inspeccione el tráfico en una interfaz de red diferente, abra "suricata.yaml y busque el "-interfaz:predeterminado". Una vez que lo encuentre, antes de esa línea agregue las siguientes líneas como se describe a continuación:
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
En este ejemplo agregamos, el "enp0s1 ” como interfaz de red y el número de ID de clúster 98. Tenga en cuenta que el número de ID de clúster debe ser único en este archivo.
Conjuntos de reglas de Suricata
El conjunto limitado de reglas de detección incluidas por Suricata se encuentra en /etc/suricata/rules directorio. Para obtener los conjuntos de reglas de proveedores externos, debe ejecutar el comando con la herramienta de actualización que incluye Suricata:
sudo suricata-update -o /etc/suricata/rules
Debería recibir el siguiente resultado:
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Probar la configuración
Al final, cuando todo esté configurado, como la interfaz de red, la ID de flujo de la comunidad y las reglas, podemos verificar la configuración de Suricata si todo está bien, ejecutando el siguiente comando:
suricata -T /etc/suricata/suricata.yaml
Debería recibir el resultado como se describe a continuación:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
Eso es todo. Instaló y configuró correctamente la herramienta de seguridad de red de Suricata en Debian 11. Si le resulta difícil usarla, puede comunicarse con nuestros administradores y la configurarán por usted. Estamos disponibles 24/7.
Si le gustó esta publicación sobre cómo instalar Suricata en Debian 11, compártala con sus amigos en las redes sociales usando los botones a la izquierda o simplemente deje una respuesta a continuación. Gracias.