
[**]Al momento de escribir esta guía, la última versión de Surikatá Sí 6.0.5.
Características de Surikata
- Sistema de detección de intrusos/IPS – Suricata se basa en reglas Detección de intrusos y prevención Un motor que utiliza un conjunto de reglas desarrollado externamente, p. Conjunto de reglas de Talos y Conjunto de reglas de Suricata de amenazas emergentes Supervise el tráfico de la red en busca de actividades maliciosas, infracciones de políticas y amenazas.
- Detección automática de protocolo – El motor de Suricata detecta automáticamente protocolos como HTTP y HTTPS. FTP y SMB en cualquier puerto, con la lógica de registro y detección adecuada aplicada. Esto resulta útil para detectar malware y canales CnC.
- escritura lua – Suricata puede llamar lúa Scripts que brindan detección avanzada de malware para detectar y decodificar tráfico de malware que de otro modo sería difícil de detectar.
- subprocesos múltiples – Suricata proporciona velocidad e importancia en la determinación del tráfico de red. El motor está diseñado para aplicar la potencia de procesamiento mejorada proporcionada por los modernos conjuntos de chips de hardware multinúcleo.
Instale la herramienta de detección de intrusos Suricata en Linux
[**]En esta sección, demostraremos cómo instalar Surikatá Distribuciones basadas en Debian y RHEL.
Instalar Suricata en Debian/Ubuntu y Mint
[**]Surikatá Proporcionado por el Debian/Ubuntu repositorio y se puede instalar fácilmente usando el administrador de paquetes apt. Sin embargo, vale la pena señalar que esto no instala la última versión de Suricata. Para instalar la última versión, deberá instalarla desde la fuente que veremos más adelante en esta guía.
[**]Instalar Surikatá usar fácil Administrador de paquetes, ejecute el comando:
$ sudo apt install suricata -y
$ sudo systemctl status suricata

Instale Suricata en RHEL, Rocky, Almalinux y Fedora
[**]Instalar Surikatá superior RHEL Para distribuciones como CentOS Stream, Rocky Linux, AlmaLinux, Fedora y RHEL, primero debe habilitar el repositorio EPEL.
$ dnf install [RHEL 9] $ dnf install [RHEL 8] $ yum install [RHEL 7]
[**]una vez EPEL Habilitado, instale los siguientes paquetes requeridos y agregue OISF repositorio a su sistema.
----------- On Fedora Systems ----------- $ sudo dnf install dnf-plugins-core $ sudo dnf copr enable @oisf/suricata-6.0 ----------- On RHEL Systems ----------- $ sudo dnf install yum-plugin-copr $ sudo dnf copr enable @oisf/suricata-6.0
[**]A continuación, instale Surikatá Utilice el administrador de paquetes dnf o el administrador de paquetes yum como se muestra.
$ sudo dnf install suricata -y Or $ sudo yum install suricata -y

[**]una vez Surikatá Instalado, iniciado y verificado su estado.
$ sudo systemctl start suricata $ sudo systemctl status suricata

Instale Suricata desde la fuente en Linux
[**]Los repositorios predeterminados del sistema operativo no proporcionan la última versión SurikatáSi su objetivo es instalar la última versión de Surikatáentonces necesita instalarlo desde la fuente.
[**]Al momento de escribir esta guía, la última versión de Suricata es 6.0.5. Instalar Surikatá de la fuente Ubuntu/Debian y RHEL distribución, instale las siguientes bibliotecas, herramientas de compilación y dependencias.
----------- On Debian Systems ----------- $ sudo apt install rustc build-essential cargo libpcre3 libpcre3-dbg libpcre3-dev make autoconf automake libtool libcap-ng0 make libmagic-dev libjansson-dev libjansson4 libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev pkg-config libnetfilter-queue1 libnfnetlink0 libnetfilter-queue-dev libnfnetlink-dev -y ----------- On RHEL Systems ----------- $ sudo yum install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel -y
[**]A continuación, instale la herramienta de actualización de Suricata para actualizar las reglas de Suricata.
$ sudo apt install python3-pip [On Debian] $ sudo yum install python3-pip [On RHEL] $ pip3 install --upgrade suricata-update
[**]A continuación, cree un enlace simbólico a /usr/bin/suricata-update.
$ sudo ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
[**]Ve ahora Página de descarga oficial de Suricata Y use el comando wget para descargar el archivo tarball más reciente para Linux.
$ wget
[**]Después de la descarga, extraiga el archivo tarball e instálelo.
$ sudo tar -xvf suricata-6.0.6.tar.gz $ cd suricata-6.0.6 $ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var $ make $ make install-full
Configurando Suricata en Linux
[**]configuración de inicio Surikatá, necesitamos especificar la IP interna y la red externa. Para hacer esto, visite el archivo de configuración.
$ sudo vim /etc/suricata/suricata.yaml
[**]por CASA_NET comando, especificando la dirección IP de su sistema Linux.
HOME_NET: "[173.82.235.7]"
[**]A continuación, establezca red externa instruir»!$HOME_NET«.
EXTERNAL_NET: "!$HOME_NET"

[**]A continuación, especifique la interfaz de red en él Surikatá Se comprobará el tráfico de red.En nuestro caso esto es eth0 interfaz.
[**]Puede verificar su interfaz de red activa con el comando ip:
$ ip a
[**]En el archivo de configuración, actualice la directiva de interfaz con el nombre de la interfaz de red.
- interface: eth0

[**]A continuación, asegúrese de Ruta de la regla predeterminada la propiedad se establece en /etc/suricata/reglas.

[**]Luego guarde los cambios y cierre el archivo de configuración.luego reiniciar Surikatá para aplicar los cambios.
$ sudo systemctl status suricata
Actualización del conjunto de reglas de Suricata en Linux
[**]defecto, Surikatá Los barcos tienen un conjunto limitado de reglas de detección, ubicadas en /etc/suricata/reglas Tabla de contenido. Sin embargo, estos se consideran débiles e ineficaces para detectar intrusiones.necesitas cargar Amenazas emergentes (extraterrestre) reglas, que se consideran el conjunto de reglas más completo para Suricata.
[**]Surikatá proporciona una herramienta llamada actualización suricata Obtenga conjuntos de reglas de proveedores externos. Para obtener el conjunto de reglas más reciente para su servidor, ejecute el siguiente comando.
$ sudo suricata-update -o /etc/suricata/rules


[**]Desde la salida, se puede ver actualización suricata liberarse Amenazas emergentes ET Reglas abiertas y guárdalos en Suricata’s /etc/suricata/reglas/suricata archivo de reglas. Además, representa el número de reglas procesadas.En este ejemplo, hay un total de 35941 Añadir. Esos, 28221 activado, 18 se elimina, y 1249 modificado.
Agregue el conjunto de reglas de Suricata en Linux
[**]Este actualización suricata Las herramientas le permiten obtener reglas de proveedores de conjuntos de reglas.Algunos son gratuitos, como extranjero abierto configuración, mientras que otros requieren una suscripción paga.
[**]Para enumerar el conjunto de proveedores de reglas predeterminado, ejecute actualización suricata El comando se muestra en la figura.
$ sudo suricata-update list-sources

[**]Por ejemplo, para agregar un conjunto de reglas, conjunto de reglas tgreen/cazaejecute el siguiente comando.
$ sudo suricata-update enable-source tgreen/hunting

[**]Una vez que agregue conjunto de reglasatropelló actualización suricata comando de nuevo con -o /etc/suricata/rules
bandera.
$ sudo suricata-update -o /etc/suricata/rules

Prueba las reglas de Suricata en Linux
[**]antes de comenzar la prueba Surikatá, se recomienda probar si la configuración es normal. Para hacer esto, ejecute el siguiente comando:
$ sudo suricata -T -c /etc/suricata/suricata.yaml -v
[**]Asegúrese de que no haya informes de errores. Si está ejecutando RHEL, CentOS Stream, Fedora y Rocky Linux, inicie y habilite Suricata.
$ sudo systemctl start suricata $ sudo systemctl enable suricata
[**]Hasta ahora, hemos instalado y configurado con éxito Surikatá y actualizó el conjunto de reglas. ET Open Rule Set contiene más de 30 000 reglas para detectar tráfico malicioso. En esta sección, probaremos Suricata y veremos si puede detectar tráfico de red sospechoso.
[**]vamos a probar extranjero abierto Simulando un conjunto de reglas de intrusión Guía de inicio rápido para Suricata.
[**]La funcionalidad de IDS se probará con el ID de firma 2100498 enviando testmynids.org sitio web del NIDS (Sistema de detección de intrusos en la red) cuadro.
$ curl
[**]Deberías obtener el siguiente resultado.
uid=0(root) gid=0(root) groups=0(root)
[**]Este HTTP La solicitud enviada tiene la intención de imitar IDENTIFICACIÓN Los comandos pueden ejecutarse en el sistema remoto infectado a través del shell.
[**]Ahora, filtremos los registros de Suricata para las alertas correspondientes. Suricata se envía con dos archivos de registro habilitados de forma predeterminada.
/var/log/suricata/fast.log /var/log/suricata/eve.log
[**]Comprobaremos las entradas del registro. /var/log/suricata/fast.log Utilice el comando grep para registrar los archivos correspondientes a las solicitudes curl.usaremos 2100498 Identificadores de reglas en la documentación de inicio rápido.
$ grep 2100948 /var/log/suricata/fast.log
[**]Obtendrá el siguiente resultado que representa la intrusión. aquí, 173.82.235.7 es la dirección IP pública del servidor.
09/09/2022-22:17:06.796434 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 -> 173.82.235.7:33822

[**]Como alternativa, puede comprobar /var/log/suricata/eve.log Firme el archivo de registro con ID 2100498 como se muestra.
$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
