Tutoriales

Herramientas de seguridad para la detección y prevención de intrusiones

[**]Surikatá es un potente motor de detección de amenazas de uso general y de código abierto que proporciona funciones de detección de intrusiones (IDS), prevención de intrusiones (IPS) y supervisión de la seguridad de la red. Realiza una inspección profunda de paquetes, así como la comparación de patrones, y es muy potente en la detección de amenazas.

[**]Al momento de escribir esta guía, la última versión de Surikatá6.0.5.

Características de Surikata

  • Sistema de detección de intrusos/IPS – Suricata se basa en reglas Detección de intrusos y prevención Un motor que utiliza un conjunto de reglas desarrollado externamente, p. Conjunto de reglas de Talos y Conjunto de reglas de Suricata de amenazas emergentes Supervise el tráfico de la red en busca de actividades maliciosas, infracciones de políticas y amenazas.
  • Detección automática de protocolo – El motor de Suricata detecta automáticamente protocolos como HTTP y HTTPS. FTP y SMB en cualquier puerto, con la lógica de registro y detección adecuada aplicada. Esto resulta útil para detectar malware y canales CnC.
  • escritura lua – Suricata puede llamar lúa Scripts que brindan detección avanzada de malware para detectar y decodificar tráfico de malware que de otro modo sería difícil de detectar.
  • subprocesos múltiples – Suricata proporciona velocidad e importancia en la determinación del tráfico de red. El motor está diseñado para aplicar la potencia de procesamiento mejorada proporcionada por los modernos conjuntos de chips de hardware multinúcleo.

Instale la herramienta de detección de intrusos Suricata en Linux

[**]En esta sección, demostraremos cómo instalar Surikatá Distribuciones basadas en Debian y RHEL.

Instalar Suricata en Debian/Ubuntu y Mint

[**]Surikatá Proporcionado por el Debian/Ubuntu repositorio y se puede instalar fácilmente usando el administrador de paquetes apt. Sin embargo, vale la pena señalar que esto no instala la última versión de Suricata. Para instalar la última versión, deberá instalarla desde la fuente que veremos más adelante en esta guía.

LEER  Cyberpunk 2077 obtiene una gran actualización, amplía el tráiler y corrige los ajustes preestablecidos de Steam Deck

[**]Instalar Surikatá usar fácil Administrador de paquetes, ejecute el comando:

$ sudo apt install suricata -y
Instalar Suricata en Ubuntu

[**]Suricata se inicia automáticamente después de la instalación. Puede confirmar de la siguiente manera.

$ sudo systemctl status suricata
Compruebe Suricata en Ubuntu
Compruebe Suricata en Ubuntu

Instale Suricata en RHEL, Rocky, Almalinux y Fedora

[**]Instalar Surikatá superior RHEL Para distribuciones como CentOS Stream, Rocky Linux, AlmaLinux, Fedora y RHEL, primero debe habilitar el repositorio EPEL.

$ dnf install   [RHEL 9]
$ dnf install   [RHEL 8]
$ yum install   [RHEL 7]

[**]una vez EPEL Habilitado, instale los siguientes paquetes requeridos y agregue OISF repositorio a su sistema.

----------- On Fedora Systems ----------- 
$ sudo dnf install dnf-plugins-core
$ sudo  dnf copr enable @oisf/suricata-6.0

----------- On RHEL Systems ----------- 
$ sudo dnf install yum-plugin-copr
$ sudo dnf copr enable @oisf/suricata-6.0

[**]A continuación, instale Surikatá Utilice el administrador de paquetes dnf o el administrador de paquetes yum como se muestra.

$ sudo dnf install suricata -y
Or
$ sudo yum install suricata -y
Instalar Suricata en RHEL
Instalar Suricata en RHEL

[**]una vez Surikatá Instalado, iniciado y verificado su estado.

$ sudo systemctl start suricata
$ sudo systemctl status suricata
Compruebe Suricata en RHEL
Compruebe Suricata en RHEL

Instale Suricata desde la fuente en Linux

[**]Los repositorios predeterminados del sistema operativo no proporcionan la última versión SurikatáSi su objetivo es instalar la última versión de Surikatáentonces necesita instalarlo desde la fuente.

[**]Al momento de escribir esta guía, la última versión de Suricata es 6.0.5. Instalar Surikatá de la fuente Ubuntu/Debian y RHEL distribución, instale las siguientes bibliotecas, herramientas de compilación y dependencias.

----------- On Debian Systems ----------- 
$ sudo apt install rustc build-essential cargo libpcre3 libpcre3-dbg libpcre3-dev make autoconf automake libtool libcap-ng0 make libmagic-dev libjansson-dev libjansson4 libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev pkg-config libnetfilter-queue1 libnfnetlink0 libnetfilter-queue-dev libnfnetlink-dev -y

----------- On RHEL Systems ----------- 
$ sudo yum install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel -y

[**]A continuación, instale la herramienta de actualización de Suricata para actualizar las reglas de Suricata.

$ sudo apt install python3-pip           [On Debian]
$ sudo yum install python3-pip           [On RHEL]
$ pip3 install --upgrade suricata-update

[**]A continuación, cree un enlace simbólico a /usr/bin/suricata-update.

$ sudo ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update

[**]Ve ahora Página de descarga oficial de Suricata Y use el comando wget para descargar el archivo tarball más reciente para Linux.

$ wget 

[**]Después de la descarga, extraiga el archivo tarball e instálelo.

$ sudo tar -xvf suricata-6.0.6.tar.gz
$ cd suricata-6.0.6
$ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
$ make
$ make install-full

Configurando Suricata en Linux

[**]configuración de inicio Surikatá, necesitamos especificar la IP interna y la red externa. Para hacer esto, visite el archivo de configuración.

$ sudo vim /etc/suricata/suricata.yaml

[**]por CASA_NET comando, especificando la dirección IP de su sistema Linux.

HOME_NET: "[173.82.235.7]"

[**]A continuación, establezca red externa instruir»!$HOME_NET«.

EXTERNAL_NET: "!$HOME_NET"
Configurando Suricata en Linux
Configurando Suricata en Linux

[**]A continuación, especifique la interfaz de red en él Surikatá Se comprobará el tráfico de red.En nuestro caso esto es eth0 interfaz.

[**]Puede verificar su interfaz de red activa con el comando ip:

$ ip a

[**]En el archivo de configuración, actualice la directiva de interfaz con el nombre de la interfaz de red.

- interface: eth0
Configurar la interfaz de red de Suricata
Configurar la interfaz de red de Suricata

[**]A continuación, asegúrese de Ruta de la regla predeterminada la propiedad se establece en /etc/suricata/reglas.

Configurar las reglas de Suricata
Configurar las reglas de Suricata

[**]Luego guarde los cambios y cierre el archivo de configuración.luego reiniciar Surikatá para aplicar los cambios.

$ sudo systemctl status suricata

Actualización del conjunto de reglas de Suricata en Linux

[**]defecto, Surikatá Los barcos tienen un conjunto limitado de reglas de detección, ubicadas en /etc/suricata/reglas Tabla de contenido. Sin embargo, estos se consideran débiles e ineficaces para detectar intrusiones.necesitas cargar Amenazas emergentes (extraterrestre) reglas, que se consideran el conjunto de reglas más completo para Suricata.

[**]Surikatá proporciona una herramienta llamada actualización suricata Obtenga conjuntos de reglas de proveedores externos. Para obtener el conjunto de reglas más reciente para su servidor, ejecute el siguiente comando.

$ sudo suricata-update -o /etc/suricata/rules
Actualizar el conjunto de reglas de Suricata
Actualizar el conjunto de reglas de Suricata
Descargar la regla de amenazas emergentes de Suricata
Descargar la regla de amenazas emergentes de Suricata

[**]Desde la salida, se puede ver actualización suricata liberarse Amenazas emergentes ET Reglas abiertas y guárdalos en Suricata’s /etc/suricata/reglas/suricata archivo de reglas. Además, representa el número de reglas procesadas.En este ejemplo, hay un total de 35941 Añadir. Esos, 28221 activado, 18 se elimina, y 1249 modificado.

Agregue el conjunto de reglas de Suricata en Linux

[**]Este actualización suricata Las herramientas le permiten obtener reglas de proveedores de conjuntos de reglas.Algunos son gratuitos, como extranjero abierto configuración, mientras que otros requieren una suscripción paga.

[**]Para enumerar el conjunto de proveedores de reglas predeterminado, ejecute actualización suricata El comando se muestra en la figura.

$ sudo suricata-update list-sources
Lista de proveedores de reglas de Suricata
Lista de proveedores de reglas de Suricata

[**]Por ejemplo, para agregar un conjunto de reglas, conjunto de reglas tgreen/cazaejecute el siguiente comando.

$ sudo suricata-update enable-source tgreen/hunting
Agregar conjunto de reglas de Suricata
Agregar conjunto de reglas de Suricata

[**]Una vez que agregue conjunto de reglasatropelló actualización suricata comando de nuevo con -o /etc/suricata/rules bandera.

$ sudo suricata-update -o /etc/suricata/rules
Actualizar el conjunto de reglas de Suricata
Actualizar el conjunto de reglas de Suricata

Prueba las reglas de Suricata en Linux

[**]antes de comenzar la prueba Surikatá, se recomienda probar si la configuración es normal. Para hacer esto, ejecute el siguiente comando:

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v

[**]Asegúrese de que no haya informes de errores. Si está ejecutando RHEL, CentOS Stream, Fedora y Rocky Linux, inicie y habilite Suricata.

$ sudo systemctl start suricata 
$ sudo systemctl enable suricata 

[**]Hasta ahora, hemos instalado y configurado con éxito Surikatá y actualizó el conjunto de reglas. ET Open Rule Set contiene más de 30 000 reglas para detectar tráfico malicioso. En esta sección, probaremos Suricata y veremos si puede detectar tráfico de red sospechoso.

[**]vamos a probar extranjero abierto Simulando un conjunto de reglas de intrusión Guía de inicio rápido para Suricata.

[**]La funcionalidad de IDS se probará con el ID de firma 2100498 enviando testmynids.org sitio web del NIDS (Sistema de detección de intrusos en la red) cuadro.

$ curl 

[**]Deberías obtener el siguiente resultado.

uid=0(root) gid=0(root) groups=0(root)

[**]Este HTTP La solicitud enviada tiene la intención de imitar IDENTIFICACIÓN Los comandos pueden ejecutarse en el sistema remoto infectado a través del shell.

[**]Ahora, filtremos los registros de Suricata para las alertas correspondientes. Suricata se envía con dos archivos de registro habilitados de forma predeterminada.

/var/log/suricata/fast.log
/var/log/suricata/eve.log

[**]Comprobaremos las entradas del registro. /var/log/suricata/fast.log Utilice el comando grep para registrar los archivos correspondientes a las solicitudes curl.usaremos 2100498 Identificadores de reglas en la documentación de inicio rápido.

$ grep 2100948 /var/log/suricata/fast.log

[**]Obtendrá el siguiente resultado que representa la intrusión. aquí, 173.82.235.7 es la dirección IP pública del servidor.

09/09/2022-22:17:06.796434  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 -> 173.82.235.7:33822
Ver registros de Suricata
Ver registros de Suricata

[**]Como alternativa, puede comprobar /var/log/suricata/eve.log Firme el archivo de registro con ID 2100498 como se muestra.

$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
Verifique los registros de Suricata para la identificación de la firma
Verifique los registros de Suricata para la identificación de la firma

LEER  Cambiar el método de autenticación para el usuario raíz de MySQL en Ubuntu

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba