Suricata es una herramienta de detección de amenazas de red de código abierto con funciones como detección de intrusos, prevención de intrusos y monitoreo de seguridad de la red. Sobresale en la inspección profunda de paquetes y la comparación de patrones, lo que la convierte en una herramienta invaluable para detectar amenazas y ataques.
Suricata puede generar registros, eliminar tráfico y activar alertas en caso de que haya paquetes sospechosos en su red. Esta guía lo guiará a través de la instalación de Suricata IDS en ubuntu 20.04
Paso 1:Actualice su sistema
Primero, asegúrese de que los paquetes de su sistema estén actualizados. Ejecute el comando:
$ sudo apt update
Una vez que se actualice el índice del paquete, continúe con el siguiente paso.
Paso 2:Agrega el repositorio de Suricata
La última versión estable de Suricata está disponible en el repositorio PPA mantenido por OISF. Por lo tanto, agregaremos el repositorio de Suricata en su sistema Ubuntu como se muestra;
$ sudo add-apt-repository ppa:oisf/suricata-stable
A partir de entonces, actualice el índice de paquetes de su sistema.
$ sudo apt update
Con el PPA en su lugar, diríjase al siguiente paso e instale el IDS de Suricat.
Paso 3:Instalar Suricata
Para instalar Suricata ejecute el comando:
$ sudo apt install suricata
Con la instalación de Suricata, vayamos un paso más allá y habilitemos que se inicie en el momento del arranque.
$ sudo systemctl enable suricata.service
A continuación, asegúrese de que la instalación se haya realizado correctamente ejecutando el siguiente comando:
$ sudo suricata –build-info
Confirme que el servicio systemd de Suricata se está ejecutando de la siguiente manera:
$ sudo systemctl status suricata
El resultado confirma que Suricata está funcionando en Ubuntu 20.04
Paso 4:Configuración básica
El archivo de configuración de Suricata se encuentra en /etc/suricata/suricata.yaml sendero. Para la configuración básica, necesitamos configurar Suricata para su red interna y externa. Abra el archivo de configuración como se muestra:
$ sudo vim /etc/suricata/suricata.yaml
Luego, especifique la dirección IP para la variable HOME_NET. En este caso, mi dirección IP es 192.168.100.7. La variable HOME_NET es la dirección IP de su red local o interfaz que desea monitorear. A continuación, defina el valor para EXTERNA_ NET como cualquier red que no sea su dirección IP local.
A continuación, vaya a la sección af-packet en el archivo de configuración y cambie el nombre de la interfaz para reflejar la interfaz de red elegida anteriormente.
Paso 5:Reglas de Suricata
Suricata le permite crear reglas de red o firmas según sus requisitos. Las reglas más comunes incluyen Emerging Threats y Emerging Threats Pro.
El archivo de reglas se encuentra en /etc/suricata/rules/ directorio. Para ver los contenidos ejecute:
$ ls /etc/suricata/rules/
Para instalar el conjunto de reglas de Emerging Threats Open, ejecute:
$ sudo suricata-update
Esto instalará las reglas en /var/lib/suricata/rules/ directorio.
Paso 6:Ejecutar Suricata
Después de instalar todas las reglas, puede reiniciar el servicio IDS de Suricata como se muestra:
$ sudo systemctl restart suricata
También puede consultar los registros de Suricata como se muestra:
$ sudo tail /var/log/suricata/suricata.log
Eso es todo con la instalación de Suricata IDS en Ubuntu 20.04. Para obtener más información, diríjase a la página de documentación.