Установка и использование Suricata на Linux Ubuntu: подробное руководство

Suricata — это мощная система обнаружения вторжений (IDS), которая обеспечивает надежную защиту вашей сети от потенциальных угроз. Она позволяет перехватывать, анализировать и обрабатывать трафик, проходящий через сетевые интерфейсы вашего оборудования.

В этой статье мы рассмотрим подробный процесс установки и настройки Suricata на Linux Ubuntu. Для установки Suricata используется менеджер пакетов APT, поэтому вам необходимо убедиться, что у вас установлены все необходимые зависимости.

Для начала установите Suricata на свою систему с помощью следующей команды:

sudo apt-get install suricata

После установки Suricata должна быть правильно настроена. Откройте файл suricata.yaml для редактирования и внесите необходимые изменения в раздел vars: в соответствии с вашими потребностями. Важно настоятельно рекомендуется правильно настроить эту конфигурацию, чтобы Suricata мог корректно функционировать.

Затем вы можете настроить Suricata для автозапуска при загрузке системы. Для этого откройте файл /etc/default/suricata и измените значение переменной ENABLED на 1.

Теперь, когда Suricata установлен и настроен, вы можете приступить к его использованию. Введите следующую команду для запуска Suricata:

sudo suricata -c /etc/suricata/suricata.yaml -i ens32

В этой команде -c указывает Suricata на расположение конфигурационного файла, а -i ens32 определяет интерфейс, через который Suricata будет анализировать трафик. Убедитесь, что вы указали правильное значение для интерфейса.

Suricata также позволяет обновлять свои правила для обнаружения вторжений. Для обновления правил выполните следующую команду:

sudo suricata-update

Suricata использует язык YAML для конфигурации, поэтому будьте внимательны при внесении изменений в файл suricata.yaml. Чтобы быть уверенным в правильности своей конфигурации, вы можете использовать инструмент проверки YAML.

Теперь вы готовы использовать Suricata для обнаружения и предотвращения вторжений в вашу сеть. Будьте внимательны при анализе результатов Suricata и обратите внимание на любые потенциально вредоносные потоки трафика.

Возможно, вы также захотите изучить исходный код Suricata, чтобы лучше понять его функции и возможности. Исходный код Suricata доступен для загрузки с официального сайта проекта.

Из репозитория

$ sudo apt-get install suricata

После ввода этой команды Suricata будет установлен из официального репозитория Ubuntu. Пакеты Suricata входят в основной репозиторий, поэтому установка проще всего. Однако, стоит отметить, что пакеты репозитория могут быть устаревшими, и вы можете не получить последние исправления и новые функции.

После установки Suricata вы можете выполнить команду suricata для запуска Suricata в режиме обнаружения вторжений. В этом режиме Suricata будет мониторить сетевой трафик и обнаруживать потоки данных, которые сигнализируют о потенциальных атаках и угрозах безопасности.

Для настройки Suricata вы можете использовать файл конфигурации suricata.yaml, который находится по умолчанию в каталоге /etc/suricata. В этом файле вы можете изменить настройки Suricata, такие как сетевые интерфейсы, правила обнаружения вторжений и т.д.

Однако, помимо базовой установки, для полноценной работы Suricata вам может понадобиться дополнительная настройка. Например, вы можете использовать утилиту suricata-update для установки необходимых правил обнаружения вторжений. Эта утилита загружает последние обновления с официального сайта Suricata и обновляет файлы правил.

Также, вы можете настроить Suricata для зеркалирования трафика с других сетевых устройств или для мониторинга в реальном времени.

В общем, установка Suricata из официального репозитория Ubuntu является простым и быстрым способом получить Suricata на вашем рабочем столе или сервере.

Из исходников

Установка Suricata из исходников означает, что вы будете компилировать и настраивать Suricata вручную. Этот метод настройки может потребоваться в некоторых случаях, например, если вы хотите установить более новую версию Suricata или если вы хотите внести изменения в исходный код программы.

Для начала установки Suricata из исходников, вам необходимо установить некоторые зависимости. Откройте терминал и выполните следующую команду:

sudo apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev libjansson4 pkg-config libnss3-dev libgeoip-dev liblua5.1 liblua5.1-dev libhiredis-dev libnetfilter-queue-dev libnfnetlink-dev libssl-dev libapreq2-dev libluajit-5.1-2  libluajit-5.1-dev libluajit-5.1-common libluajit-5.1-2-dbg libluabind-dev libluabind0.9 libaprutil1-dbd-sqlite3 libaprutil1-dev libasprintf-dev libaspell-dev libaspell15 libass-dev libass4 libass5 libast2 libasyncns-dev libasyncns0 libatk-bridge2.0-dev libatk1.0-dev libatk1.0-doc libatkmm-1.6-1v5 libatkmm-1.6-dev libatkmm-1.6-doc libatlas-base-dev libatspi-dev libatspi2.0-0 libattr1-dev libaudio2 libaudio-dev libavc1394-0 libavc1394-dev libavcodec57 libavcodec-dev libavdevice57 libavdevice-dev libavfilter6 libavfilter-dev libavformat57 libavformat-dev libavresample3 libavresample-dev libavutil55 libavutil-dev libb-hzy32 libbinutils libbinutils-ocaml-dev libbind-dev libbind9-140 libbind9-dev libblas-dev libblas3 libbluetooth-dev libbluray-dev libbluray1 libboost1.62-all-dev libboost1.62-tools-dev libboost1.62-dev libboost1.61-all-dev libboost1.61-dev libboost1.61-tools-dev libbrasero-media3-1 libbrlapi-dev libbrlapi-bin libbrlapi0.6 libbrotli-dev libbs2b-dev libbsd-dev libbsd0 libbsd0:i386 libbsd0-dbg libbsf-java libbsf-java-doc libbsh-java libbtbb-dev libbtbb0 libbtree-dev libbtree-ocaml-dev libbuddy-2.4-0 libbuddy-2.4-dev libb-widgets4.1.0 libbz2-dev libbzrtp-dev libbzrtp0 libbzrtp0-dbg libbzrtpcommon0 libbzrtpcommon0-dbg libc6-dbg libc6-dev-i386 libcairo-script-interpreter2 libcairo2-de
Настройка времени
Сборка Suricata требует настройки времени для некоторых функций управления потоком. В этом разделе мы рассмотрим процесс настройки времени.
Во-первых, установите пакет pcap:
sudo apt-get install pcap
Затем установите chrony для синхронизации времени на сервере:
sudo apt-get install chrony
После установки chrony, настройте его расположение. Откройте файл настройки /etc/chrony/chrony.conf и установите значение "server" на адрес вашего шлюза или сервера NTP:
server [IP_адрес_шлюза_или_NTP_сервера]
Сохраните и закройте файл.
Настраиваем систему для автоматической синхронизации времени при запуске компьютера:
sudo systemctl enable chrony
Затем перезапустите сервис:
sudo systemctl restart chrony
Проверьте, работает ли chrony и время правильно синхронизировано:
sudo chronyc sources
Итак, мы настроили время на сервере. Это позволит Suricata правильно анализировать пакеты pcap с правильным временем.
Перехват трафика и режимы работы
При установке Suricata на Linux Ubuntu в качестве IDS (Intrusion Detection System) или IPS (Intrusion Prevention System), нам необходимо настроить перехват трафика для его последующего анализа.
Один из способов перехвата трафика - использование iptables. Это мощный инструмент, используемый для настройки правил фильтрации пакетов на уровне ядра Linux. Мы можем настроить iptables на шлюзах или серверах для перехвата и зеркалирования трафика к Suricata.
Другой способ перехвата трафика - использование SPAN-портов или мониторинга портов коммутатора в случае использования сетевого оборудования от Cisco, MikroTik, Solaris и других производителей. Этот метод позволяет захватывать весь проходящий через коммутатор трафик и направлять его на Suricata.
В результате настройки перехвата трафика Suricata будет выполнять анализ пакетов в режиме реального времени и принимать решения о блокировке или записи инцидентов на основе заданных правил. Это позволяет обеспечить базовую защиту сети от атак и вредоносного ПО.
Для настройки перехвата трафика нам потребуется:

Установка Suricata
Настройка iptables или мониторинга портов коммутатора
Настройка Suricata для мониторинга и анализа трафика

При установке Suricata на Linux Ubuntu мы можем использовать файлы конфигурации Suricata, которые находятся в каталоге /etc/suricata/. Здесь мы можем найти файл suricata.yaml, который содержит основные настройки Suricata, а также дополнительные файлы правил для обнаружения инцидентов.
Настройка перехвата трафика в Suricata включает следующие этапы:

Настройка сетевых интерфейсов для перехвата трафика
Настройка правил обнаружения и блокировки инцидентов
Настройка времени жизни потоков или потокового контроля
Настройка цепи правил для фильтрации трафика
Настройка механизма логгирования и действий

При настройке сетевых интерфейсов в файле suricata.yaml мы указываем сетевые интерфейсы, с которых Suricata будет считывать пакеты для анализа. Мы также можем настроить файл suricata.yaml для использования множества сетевых интерфейсов или файлов pcap для анализа.
Правила обнаружения и блокировки инцидентов задаются в файле rules в формате Suricata. Suricata поддерживает большое количество правил, которые могут быть использованы для обнаружения различных типов атак и вредоносного ПО.
Время жизни потоков или потокового контроля позволяет нам установить максимальное время жизни потока (как долго Suricata будет контролировать потоки) и задать параметры работы потока (как часто Suricata будет записывать информацию о потоке).
Цепь правил для фильтрации трафика определяет, какие пакеты будут перехватываться и анализироваться Suricata. Мы можем настроить фильтры для перехвата конкретных типов пакетов (например, TCPv4 или IPv6).
Механизм логгирования и действий позволяет настроить Suricata на регистрацию инцидентов, а также на предпринятие определенных действий при обнаружении инцидентов. Мы можем настроить Suricata на отправку уведомлений по электронной почте, запись инцидентов в базу данных или выполнять внешние команды при обнаружении инцидентов.
В итоге, Suricata в режиме мониторинга или IPS будет выполнять перехват и анализ трафика в реальном времени, обнаруживать инциденты и принимать необходимые меры для защиты системы или сети.
Настройте Suricata IDS в первый раз

Перед установкой Suricata IDS вам необходимо иметь установленный Linux Ubuntu операционной системы на вашем хосте или виртуальной машине. Если вы еще не установили Ubuntu, вы можете загрузить образ с официального сайта Ubuntu.
Шаг 1: Установите Suricata IDS
Первым шагом мы должны установить Suricata IDS на нашу систему. Существует несколько способов установки Suricata на Ubuntu, но самый простой способ - использовать apt-get команду:
sudo apt-get install suricata
Эта команда установит пакет Suricata из официального репозитория Ubuntu. Это довольно простой способ установки Suricata, но вы также можете собрать и установить Suricata из исходников, если хотите получить более новую версию или настроить специфические параметры.
Шаг 2: Настройка Suricata IDS
После установки Suricata IDS настройка требуется, чтобы обеспечить его правильную работу. Файл настроек Suricata находится в /etc/suricata/suricata.yaml. В этом файле вы найдете множество настроек для Suricata, таких как настройки интерфейса, пути к файлам правил и т. д.
Рассмотрим некоторые ключевые настройки:

interface: Здесь вы должны указать интерфейс, который Suricata будет использовать для сбора сетевого трафика. Например, если вы хотите использовать интерфейс eth0, вы должны указать interface: eth0.
rule-files: Здесь вы указываете путь к файлам правил Suricata. Suricata поставляется с некоторыми предустановленными правилами, и вы можете добавить свои собственные правила, если хотите. В примере ниже показан путь к файлам правил по умолчанию:

rule-files:

- suricata.rules
- decoder-events.rules
- http-events.rules
- tls-events.rules



host-os-policy: Здесь вы можете указать различные режимы обнаружения нарушений безопасности, такие как блокировка атаки, регистрация безопасности и т. д.

Шаг 3: Запуск Suricata IDS
После того, как Suricata сконфигурирован, вы можете запустить его с помощью следующей команды:
sudo suricata -c /etc/suricata/suricata.yaml
Эта команда запустит Suricata с использованием файла конфигурации suricata.yaml, указанного через параметр -c. Если у вас есть другой файл конфигурации, вы должны указать путь к нему вместо /etc/suricata/suricata.yaml.
Итоги
Поздравляю! Теперь у вас есть Suricata IDS, настроенный и работающий на вашей системе. Вы можете добавить свои собственные правила или использовать предустановленные правила Suricata для обнаружения потенциальных вторжений на вашей сети. Suricata предоставляет широкие возможности для защиты вашей сети, и вы можете управлять ими через файлы конфигурации и правила.
Используйте Suricata для мониторинга вторжений
Перед тем, как начать использовать Suricata, вам потребуется установить и настроить его. Для этого вам понадобится установочный пакет из репозитория Suricata.
1. Начните установку Suricata, используя следующую команду:
sudo apt-get install suricata
 
2. После успешной установки вы можете продолжить настройку файлов.
 
Suricata имеет два основных файла конфигурации: файл suricata.yaml и файл rules.yaml.
 
3. Откройте файл suricata.yaml для настройки Suricata. Найдите следующие опции и установите их в требуемые значения:
 
 
 
Опция
 
Значение
 
 
 
af-packet:
 
 
 
interface: <имя сетевого интерфейса>
 
cluster-id: <идентификатор кластера>
 
 
 
 
 
host-os-policy:
 
solaris
 
 
 
update:
 
<частота обновления правил>
 
 
 
default-log-dir:
 
<расположение журнала>
 
 
 
default-log-prefix:
 
<префикс журнала>
 
 
 
default-log-file-mode:
 
<права доступа к файлу журнала>
 
 
 
default-log-dir-mode:
 
<права доступа к каталогу журнала>
 
 
 
default-log-rotate-count:
 
<количество сохраняемых копий журнала>
 
 
 
default-log-filter:
 
<фильтр журнала>
 
 
 
default-log-disabled:
 
<отключение журнала>
 
 
 
4. Откройте файл rules.yaml для настройки правил обнаружения вторжений. Установите в нем необходимые правила для вашей среды.
 
Suricata имеет множество вариантов правил, включая правила для обнаружения сетевых атак, отказа в обслуживании, проникновения в систему и многое другое.
 
5. После настройки файлов YAML вы можете запустить Suricata в режиме обнаружения:
 
sudo suricata -c /etc/suricata/suricata.yaml --init-errors-fatal
 
Теперь Suricata будет работать и анализировать сетевой трафик для обнаружения потенциальных атак и нарушений.
 
Suricata также умеет перехватывать и анализировать потоки данных для более глубокого анализа. Вы можете настроить Suricata для мониторинга конкретных соединений или хостов.
 
6. Для работы Suricata с потоками данных, устанавливаем пакет libnetfilter-log-dev:
 
sudo apt-get install libnetfilter-log-dev
 
7. Далее необходимо настроить перехват данных с выбранного интерфейса:
 
sudo iptables -A INPUT -i <имя интерфейса> -j NFLOG --nflog-group <группа> --nflog-prefix <префикс>
 
8. Теперь Suricata сможет анализировать данные из указанного потока.
 
Suricata также поддерживает автоматический запуск при загрузке системы. Для этого добавьте следующую строку в файл /etc/rc.local:
 
suricata -c /etc/suricata/suricata.yaml --init-errors-fatal -D
 
Теперь Suricata будет автоматически запускаться при загрузке системы.
 
Теперь вы готовы использовать Suricata для мониторинга вторжений и защиты вашей сети от различных угроз. Suricata является мощным инструментом и может быть настроен для работы с различными сценариями и потоками трафика.
 
Установка
 
В этом разделе будет показано, как установить и настроить Suricata на Linux Ubuntu. Предполагается, что вы уже установили операционную систему Ubuntu на ваш компьютер.
 
Шаг 1: Устанавливаем необходимые пакеты для сборки Suricata:
 
 
 
sudo apt-get update
 
 
 
sudo apt-get install -y libpcre3 libpcre3-dbg libpcre3-dev
 
 
 
sudo apt-get install -y libyaml-dev zlib1g zlib1g-dbg zlib1g-dev
 
 
 
sudo apt-get install -y liblz4-dev librocksdb-dev liblzma-dev
 
 
 
sudo apt-get install -y libssl-dev libluajit-5.1-dev libpcap-dev
 
 
 
sudo apt-get install -y build-essential autotools-dev libnetfilter-queue-dev libmnl-dev linux-headers-generic libnetfilter-queue1 pkg-config libhwloc-dev cmake libarchive-dev libjansson-dev libcap-ng-dev libmagic-dev libjansson-dev libcap-ng-dev libjansson-dev libmagic-dev libnghttp2-dev libnetfilter-queue-dev libpcap-d0ump-dev libtool autoconf
 
 
 
Шаг 2: Скачиваем исходный код Suricata с официального репозитория:
 
 
 
cd /opt
 
 
 
wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz
 
 
 
Шаг 3: Распаковываем архив:
 
 
 
tar -zxvf suricata-5.0.3.tar.gz
 
 
 
Шаг 4: Переходим в рабочий каталог:
 
 
 
cd suricata-5.0.3
 
 
 
Шаг 5: Настроим Suricata для сборки с поддержкой IPS (механизм вторжений):
 
 
 
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
 
 
 
Шаг 6: Собираем Suricata:
 
 
 
make
 
 
 
Шаг 7: Установим Suricata:
 
 
 
sudo make install
 
 
 
Шаг 8: Создадим директории для Suricata:
 
 
 
sudo mkdir /var/log/suricata
 
 
 
sudo mkdir /etc/suricata
 
 
 
Шаг 9: Создадим и сконфигурируем файл suricata.yaml:
 
 
 
sudo cp suricata.yaml.in /etc/suricata/suricata.yaml
 
 
 
Шаг 10: Настроим Suricata, указав интерфейс для обработки сетевых потоков:
 
 
 
sudo nano /etc/suricata/suricata.yaml
 
 
 
Шаг 11: Настраиваем параметры:
 
 
 
suricata-update:
 
 
 
    enabled: no
 
 
 
vars:
 
 
 
     address-groups:
 
 
 
      - test
 
 
 
af-packet:
 
 
 
      - interface: ens32
 
 
 
Шаг 12: Сохраняем и выходим из файла.
 
Шаг 13: Настраиваем Suricata как службу:
 
 
 
sudo cp etc/systemd/system/suricata.service /etc/systemd/system/
 
 
 
Шаг 14: Редактируем файл suricata.service, чтобы указать путь к файлу suricata.yaml:
 
 
 
sudo nano /etc/systemd/system/suricata.service
 
 
 
Шаг 15: Изменяем строку ExecStart:
 
 
 
ExecStart=/usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens32 --pidfile /var/run/suricata/suricata.pid
 
 
 
Шаг 16: Сохраняем и выходим из файла.
 
Шаг 17: Делаем сервис Suricata активным и запускаем его:
 
 
 
sudo systemctl enable suricata.service
 
 
 
sudo systemctl start suricata.service
 
 
 
Шаг 18: Во время работы Suricata будет создано несколько файлов журналов, включая fast.log, eve.json и stats.log. Проверьте, что все файлы журналов созданы в директории /var/log/suricata:
 
 
 
ls /var/log/suricata
 
 
 
Шаг 19: Теперь Suricata настроен и готов к обработке трафика и обнаружению вторжений. В файле /etc/suricata/suricata.yaml можно настроить дополнительные опции, правила и другие параметры согласно вашим требованиям.
 
Шаг 20: Не забудьте настроить iptables, чтобы перехватывать трафик для Suricata. Ниже приведен пример команды:
 
 
 
sudo iptables -I INPUT -i ens32 -j NFQUEUE --queue-num 0
 
 
 
sudo iptables -I OUTPUT -i ens32 -j NFQUEUE --queue-num 0
 
 
 
Примечание: В приведенном выше примере предполагается, что используется интерфейс ens32. Пожалуйста, замените его на ваш рабочий интерфейс.
 
Теперь у вас должна быть настроена рабочая установка Suricata на Linux Ubuntu. Вы можете проверить его работу, отправив некоторых сетевых потоков через систему и проверив файлы журналов на обнаружение вторжений.
 
Видео:
 
Знакомство с Ubuntu. Обзор, настройка, установка тем и расширений
 
Знакомство с Ubuntu. Обзор, настройка, установка тем и расширений by Диалоги о Linux 1,033 views 1 year ago 46 minutes
 
Читайте также:  Вам понадобится новое приложение чтобы открыть этот ms windows overlay