Cегодня мы собираемся показать вам шаги установки IDS Suricata на Ubuntu 16.04 LTS.
Suricata – высокоэффективный Сетевой IDS, IPS и менеджер сетевой безопасности.
Открытый исходный код, который принадлежит Open Information Security Foundation (OISF).
Suricata разработан OISF и его поддерживающими вендорами.
Финансирование для OISF прибывает из нескольких американских правительственных учреждений и частных фирм, но так как Suricata лицензируют под “GPLv2 and late” лицензией, это продукт с открытым исходным кодом в свободном доступе.
Suricata – основан на правилах механизма ID/PS, который использует внешне разработанные наборы правила, чтобы контролировать сетевой трафик и предоставить предупреждения системному администратору, когда подозрительные события имеют место быть.
Разработан так, чтобы быть совместимым с существующими компонентами сетевой безопасности, функции Suricata объединили выходную функциональность и сменные опции библиотек, чтобы принимать вызовы из других приложений.
Как многопоточный механизм, Suricata предлагает увеличенную скорость и эффективность в анализе сетевого трафика. В дополнение ко всему, имеется аппаратное ускорение (аппаратными средствами и ограничениями сетевой платы).
Прежде чем мы сможем собрать Suricata для своей системы, сначала необходимо обновить нашу систему и затем выполнить следующую команду, чтобы гарантировать, чтобы у нас было все, в чем мы нуждаемся для установки.
# apt-get update
# apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
HTP связан Suricata и установлен автоматически.
По умолчанию Suricata работает как IDS, если вы хотите использовать его в качестве IDS и программы IPS, используйте команды ниже, чтобы установить ее необходимые пакеты.
# apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev
Установка Suricata
Чтобы скачать Suricata , перейдем на страницу официального сайта https://suricata-ids.org/download/
Выберем из списка необходимую версию программы.
Так же можно воспользоваться программой wget:
# wget http://www.openinfosecfoundation.org/download/suricata-3.2.2.tar.gz
И распаковать по правильному:
# tar -zxf suricata-3.2.2.tar.gz # cd suricata-3.2.2/
После распоковки, соберем сурикату как IPS:
# ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
После окончания компиляции suricata и ее установки, вы найдете параметры по умолчанию :
‘Suricata Configuration’, ‘Development settings’ и ‘Generic build parameters’.
Теперь собираем сурикату ‘make’ и ‘make install’.
Мы также можем использовать ‘make install-conf’ чтобы собрать начальную конфигурацию в /etc/suricata/.
Выполнение же ‘make install-full’ позволит нам собрать компоненты, готовые к управлению.
Чтобы установить Suricata в ‘/usr/bin/suricata’, поместить файлы конфигурации в
/etc/suricata и использовать /var/log/suricata в качестве лог каталога, используйте:
# ‘./configure –prefix=/usr/ –sysconfdir=/etc/ –localstatedir=/var/’.
Установка по умолчанию предполагает дефолтные конфиги. Установим дефолтно:
#make && make install-conf
Конфигурации IDS Suricata:
Как вы знаете, Suricata бесполезен без наборов правил IDS.
Удобно то, что Makefile идет с инсталляционным выбором правил IDS. Чтобы установить правила IDS, используйте следующую команду:
# make install-rules
Вышеупомянутая инсталляционная команда правил загрузит текущий список rulesets доступный с EmergingThreats.net и сохранит их в каталоге ‘/etc/suricata/rules’ ’.
Теперь настало время сконфигурировать Suricata.
# vim /etc/suricata/suricata.yaml