In diesem Tutorial erklären wir Schritt für Schritt, wie man Suricata unter Debian 11 installiert und anpasst.
Suricata ist ein Tool zur Überwachung der Netzwerksicherheit, das den Netzwerkverkehr verarbeitet und steuert. Es wird auch zum Generieren von Warnungen, Protokollen und zum Erkennen verdächtiger Pakete oder Anfragen von Diensten verwendet, die Ihren Server erreichen. Suricata kann auf einem Serverhost bereitgestellt werden, um den eingehenden und ausgehenden Netzwerkverkehr zu scannen, oder es kann lokal auf jedem kompatiblen Computer verwendet werden.
In den nächsten Schritten erfahren Sie mehr über Suricata und seine Installation und Anpassung. Die Installation ist unkompliziert und in wenigen Minuten erledigt. Fangen wir an!
Voraussetzungen
- Neuinstallation von Debian 11
- Benutzerberechtigungen:Root- oder Nicht-Root-Benutzer mit sudo-Berechtigungen
- VPS mit mindestens 4 GB RAM (unser SSD-4-VPS-Plan)
System aktualisieren
Damit unser System vor der Installation auf dem neuesten Stand ist, werden wir es mit dem folgenden Befehl aktualisieren:
sudo apt update -y && sudo apt upgrade -y
Suricata installieren
Sobald das System auf die neuesten Versionen aktualisiert wurde, besteht der nächste Schritt darin, Suricata über das Paket zu installieren. Das Suricata-Paket ist bereits in Debian 11 enthalten, sodass wir keine Pakete importieren müssen, um nur den folgenden Befehl auszuführen:
sudo apt install suricata -y
Sobald die Installation abgeschlossen ist, starten Sie den Dienst mit dem folgenden Befehl:
sudo systemctl start suricata
Um den Dienst zum automatischen Starten beim Systemneustart zu aktivieren, führen Sie den folgenden Befehl aus:
sudo systemctl enable suricata
Um den Status des Dienstes zu überprüfen und sicherzustellen, dass alles in Ordnung ist, führen Sie den folgenden Befehl aus:
sudo systemctl status suricata
Sie sollten die Ausgabe wie unten beschrieben erhalten:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
Standardmäßig ist die Suricata-Installation nur so konfiguriert, dass sie den Datenverkehr protokolliert und keine Unterbrechungen verhindert. Dieser Modus wird als Suricata IDS-Modus bezeichnet, und wenn Sie dies entsprechend der Art Ihres Datenverkehrs ändern möchten, müssen Sie den Suricata IPS-Modus verwenden. Die Änderungen zum Anpassen der Suricata können durch Öffnen der Datei „/etc/suricata/suricata.yaml vorgenommen werden ” Datei mit Ihrem bevorzugten Editor.
In den nächsten Abschnitten erklären wir, welche Änderungen nach der Installation von Suricata und seiner Standardkonfiguration vorgenommen werden sollten. Mit anderen Worten, wir werden die standardmäßige Suricata-Installation anpassen.
Community-Flow-ID aktivieren
Die Community-Flow-ID wird verwendet, wenn Sie Suricata mit Tools wie Zeek oder Elasticsearch verwenden möchten.
Um die Community-Flow-ID zu aktivieren, öffnen Sie die Datei „suricata.yaml“, suchen Sie die Zeile mit „community-id“ und setzen Sie sie auf „true“.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Neuladen von Live-Regeln
Mit dem Neuladen von Suricata-Live-Regeln können Sie die Regeln hinzufügen, bearbeiten und entfernen, ohne den „suricata.service neu zu starten “. Um diese Option zu aktivieren, öffnen Sie die Datei „suricata.yaml Datei und fügen Sie unten die folgenden Zeilen hinzu:
detect-engine: - rule-reload: true
Netzwerkschnittstelle
Die Standard-Netzwerkschnittstelle, die Suricata verwendet und den Datenverkehr untersucht, ist „eth0 “. Wenn Sie dies überschreiben möchten, damit Suricata den Datenverkehr auf einer anderen Netzwerkschnittstelle untersucht, öffnen Sie die Datei „suricata.yaml Datei und suchen Sie nach „- interface:default“. Sobald Sie es gefunden haben, fügen Sie vor dieser Zeile die folgenden Zeilen wie unten beschrieben hinzu:
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
In diesem Beispiel haben wir die „enp0s1 ” als Netzwerkschnittstelle und die Cluster-ID-Nummer 98. Bitte beachten Sie, dass die Cluster-ID-Nummer in dieser Datei eindeutig sein sollte.
Suricata-Regelsätze
Der begrenzte Satz von Erkennungsregeln, die in Suricata enthalten sind, befindet sich unter /etc/suricata/rules Verzeichnis. Um die Regelsätze von externen Anbietern abzurufen, müssen Sie den Befehl mit dem Update-Tool ausführen, das Suricata enthält:
sudo suricata-update -o /etc/suricata/rules
Sie sollten die folgende Ausgabe erhalten:
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Testen Sie die Konfiguration
Am Ende, wenn alles eingerichtet ist, wie Netzwerkschnittstelle, Community-Flow-ID und Regeln, können wir die Suricata-Konfiguration überprüfen, ob alles in Ordnung ist, indem wir den folgenden Befehl ausführen:
suricata -T /etc/suricata/suricata.yaml
Sie sollten die Ausgabe wie unten beschrieben erhalten:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
Das ist es. Sie haben das Suricata Network Security Tool erfolgreich auf Debian 11 installiert und konfiguriert. Wenn Sie Schwierigkeiten bei der Verwendung haben, können Sie sich an unsere Administratoren wenden, die es für Sie konfigurieren. Wir sind rund um die Uhr erreichbar.
Wenn Ihnen dieser Beitrag zur Installation von Suricata auf Debian 11 gefallen hat, teilen Sie ihn bitte mit Ihren Freunden in den sozialen Netzwerken über die Schaltflächen auf der linken Seite oder hinterlassen Sie einfach unten eine Antwort. Danke.