Suricata es una herramienta de detección de amenazas de red de código abierto con funciones como detección de intrusos, prevención de intrusos y monitoreo de seguridad de la red. Sobresale en la inspección profunda de paquetes y la comparación de patrones, lo que la convierte en una herramienta invaluable para detectar amenazas y ataques.
Suricata puede generar registros, eliminar tráfico y activar alertas en caso de que haya paquetes sospechosos en su red.
Aquí en LinuxAPT, como parte de nuestros servicios de administración de servidores, ayudamos regularmente a nuestros clientes a realizar consultas relacionadas con la instalación del software del sistema Ubuntu Linux.
En este contexto, analizaremos el procedimiento de instalación completo de Suricata IDS en ubuntu 20.04.
Pasos para instalar Suricata IDS en Ubuntu 20.04 LTS (Focal Fossa)
1. Realice la actualización del sistema
Para comenzar, asegúrese de que los paquetes de su sistema estén actualizados ejecutando el siguiente comando:
$ sudo apt update
2. Agregar repositorio de Suricata
La última versión estable de Suricata está disponible en el repositorio PPA mantenido por OISF. Por lo tanto, vamos a agregar el repositorio de Suricata en su sistema Ubuntu:
$ sudo add-apt-repository ppa:oisf/suricata-stable
A partir de entonces, actualice el índice de paquetes de su sistema:
$ sudo apt update
Con el PPA en su lugar, diríjase al siguiente paso e instale el IDS de Suricat.
3. Instalar Suricata
Para instalar Suricata ejecute el comando:
$ sudo apt install suricata
Con la instalación de Suricata, vayamos un paso más allá y habilitemos que se inicie en el momento del arranque:
$ sudo systemctl enable suricata.service
A continuación, asegúrese de que la instalación se haya realizado correctamente ejecutando el siguiente comando:
$ sudo suricata –build-info
Confirme que el servicio systemd de Suricata se está ejecutando:
$ sudo systemctl status suricata
El resultado confirma que Suricata está funcionando en Ubuntu 20.04
¿Cómo configurar Suricata en Ubuntu?
El archivo de configuración de Suricata se encuentra en la ruta /etc/suricata/suricata.yaml. Para la configuración básica, necesitamos configurar Suricata para su red interna y externa. Abra el archivo de configuración con el siguiente comando:
$ sudo vim /etc/suricata/suricata.yaml
Luego, especifique la dirección IP para la variable HOME_NET. En este caso, nuestra dirección IP es 192.168.100.1. La variable HOME_NET es la dirección IP de su red local o interfaz que desea monitorear. A continuación, defina el valor de EXTERNA_ NET como cualquier red que no sea su dirección IP local.
Luego, vaya a la sección af-packet en el archivo de configuración y cambie el nombre de la interfaz para reflejar la interfaz de red elegida.
¿Cómo configurar las Reglas de Suricata?
Suricata le permite crear reglas de red o firmas según sus requisitos. Las reglas más comunes incluyen Emerging Threats y Emerging Threats Pro.
El archivo de reglas se encuentra en el directorio /etc/suricata/rules/. Para ver los contenidos ejecute:
$ ls /etc/suricata/rules/
Para instalar el conjunto de reglas de Emerging Threats Open, ejecute:
$ sudo suricata-update
Esto instalará las reglas en el directorio /var/lib/suricata/rules/.
¿Cómo ejecutar Suricata?
Después de instalar todas las reglas, puede reiniciar el servicio IDS de Suricata con el siguiente comando:
$ sudo systemctl restart suricata
También puede consultar los registros de Suricata con el siguiente comando:
$ sudo tail /var/log/suricata/suricata.log