Suricata ist ein Open-Source-Tool zur Erkennung von Netzwerkbedrohungen mit Funktionen wie Intrusion Detection, Intrusion Prevention sowie Netzwerksicherheitsüberwachung. Es zeichnet sich durch Deep Packet Inspection und Musterabgleich aus, was es zu einem unschätzbaren Tool zur Erkennung von Bedrohungen und Angriffen macht.
Suricata kann Protokolle erstellen, Datenverkehr unterbrechen und Warnungen auslösen, falls sich verdächtige Pakete in Ihrem Netzwerk befinden.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Serververwaltungsdienste regelmäßig bei der Durchführung verwandter Abfragen zur Installation der Ubuntu-Linux-Systemsoftware.
In diesem Zusammenhang betrachten wir die vollständige Installationsprozedur von Suricata IDS auf Ubuntu 20.04.
Schritte zur Installation von Suricata IDS auf Ubuntu 20.04 LTS (Focal Fossa)
1. Systemaktualisierung durchführen
Stellen Sie zunächst sicher, dass Ihre Systempakete aktualisiert sind, indem Sie den folgenden Befehl ausführen:
$ sudo apt update
2. Suricata-Repository hinzufügen
Die neueste stabile Version von Suricata ist im PPA-Repository verfügbar, das von OISF verwaltet wird. Daher werden wir das Suricata-Repository auf Ihrem Ubuntu-System hinzufügen:
$ sudo add-apt-repository ppa:oisf/suricata-stable
Aktualisieren Sie danach den Paketindex Ihres Systems:
$ sudo apt update
Wenn das PPA vorhanden ist, fahren Sie mit dem nächsten Schritt fort und installieren Sie das Suricat IDS.
3. Installieren Sie Suricata
Um Suricata zu installieren, führen Sie den folgenden Befehl aus:
$ sudo apt install suricata
Mit der Installation von Suricata gehen wir noch einen Schritt weiter und ermöglichen es, beim Booten zu starten:
$ sudo systemctl enable suricata.service
Stellen Sie als Nächstes sicher, dass die Installation erfolgreich war, indem Sie den folgenden Befehl ausführen:
$ sudo suricata –build-info
Bestätigen Sie, dass der systemd-Dienst von Suricata ausgeführt wird:
$ sudo systemctl status suricata
Die Ausgabe bestätigt, dass Suricata auf Ubuntu 20.04 betriebsbereit ist
Wie konfiguriere ich Suricata auf Ubuntu?
Die Konfigurationsdatei von Suricata befindet sich im Pfad /etc/suricata/suricata.yaml. Für die grundlegende Einrichtung müssen wir Suricata für Ihr internes und externes Netzwerk konfigurieren. Öffnen Sie die Konfigurationsdatei mit dem folgenden Befehl:
$ sudo vim /etc/suricata/suricata.yaml
Geben Sie dann die IP-Adresse für die Variable HOME_NET an. In diesem Fall lautet unsere IP-Adresse 192.168.100.1. Die Variable HOME_NET ist die IP-Adresse Ihres lokalen Netzwerks oder der Schnittstelle, die Sie überwachen möchten. Definieren Sie als Nächstes den Wert für EXTERNA_NET als beliebiges Netzwerk, das nicht Ihre lokale IP-Adresse ist.
Gehen Sie als Nächstes zum af-packet-Abschnitt in der Konfigurationsdatei und ändern Sie den Schnittstellennamen, um die gewählte Netzwerkschnittstelle widerzuspiegeln.
Wie lege ich Suricata-Regeln fest?
Suricata ermöglicht es Ihnen, Netzwerkregeln oder Signaturen nach Ihren Anforderungen zu erstellen. Zu den gängigsten Regeln gehören Emerging Threats und Emerging Threats Pro.
Die Regeldatei befindet sich im Verzeichnis /etc/suricata/rules/. Um den Inhalt anzuzeigen, führen Sie Folgendes aus:
$ ls /etc/suricata/rules/
Um den Regelsatz „Emerging Threats Open“ zu installieren, führen Sie Folgendes aus:
$ sudo suricata-update
Dadurch werden die Regeln im Verzeichnis /var/lib/suricata/rules/ installiert.
Wie wird Suricata ausgeführt?
Nachdem Sie alle Regeln installiert haben, können Sie den Suricata IDS-Dienst mit dem folgenden Befehl neu starten:
$ sudo systemctl restart suricata
Sie können die Suricata-Protokolle auch mit dem folgenden Befehl überprüfen:
$ sudo tail /var/log/suricata/suricata.log