GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So installieren und richten Sie Suricata IDS unter Ubuntu 20.04 ein

Suricata ist eine kostenlose, robuste Open-Source-Engine zur Erkennung von Netzwerkbedrohungen, die von der Open Security Foundation entwickelt wurde. Es ist in der Lage, Intrusion Detection, Intrusion Prevention und Überwachung der Netzwerksicherheit in Echtzeit durchzuführen. Suricata verfügt über einen leistungsstarken Regelsatz, der den Netzwerkverkehr untersucht und komplexe Bedrohungen erkennt. Es unterstützt alle gängigen Betriebssysteme, einschließlich Linux, Windows, FreeBSD und macOS, sowie IPv4, IPv6, SCTP, ICMPv4, ICMPv6 und GRE.

In diesem Tutorial zeigen wir Ihnen, wie Sie Suricata IDS unter Ubuntu 20.04 installieren und konfigurieren.

Voraussetzungen

  • Ein frisches Ubuntu 20.04 VPS auf der Atlantic.net Cloud Platform
  • Auf Ihrem Server ist ein Root-Passwort konfiguriert

Schritt 1 – Atlantic.Net Cloud-Server erstellen

Melden Sie sich zunächst bei Ihrem Atlantic.Net Cloud Server an. Erstellen Sie einen neuen Server mit Ubuntu 20.04 als Betriebssystem und mindestens 2 GB RAM. Stellen Sie über SSH eine Verbindung zu Ihrem Cloud-Server her und melden Sie sich mit den oben auf der Seite hervorgehobenen Anmeldeinformationen an.

Sobald Sie sich bei Ihrem Ubuntu 20.04-Server angemeldet haben, führen Sie den folgenden Befehl aus, um Ihr Basissystem mit den neuesten verfügbaren Paketen zu aktualisieren.

apt-get update -y

Schritt 2 – Erforderliche Abhängigkeiten installieren

Zuerst müssen Sie einige Abhängigkeiten installieren, die zum Kompilieren von Suricata aus der Quelle erforderlich sind. Sie können alle mit dem folgenden Befehl installieren:

apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config -y
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 -y

Sobald alle Pakete installiert sind, müssen Sie das Suricata-Update-Tool installieren, um die Suricata-Regeln zu aktualisieren. Sie können es mit den folgenden Befehlen installieren:

apt-get install python3-pip
pip3 install --upgrade suricata-update
ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Schritt 3 – Suricata installieren

Laden Sie zunächst die neueste Version von Suricata von der offiziellen Website mit dem folgenden Befehl herunter:

wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz

Sobald der Download abgeschlossen ist, extrahieren Sie die heruntergeladene Datei mit dem folgenden Befehl:

tar -xvzf suricata-5.0.3.tar.gz

Als nächstes ändern Sie das Verzeichnis in das extrahierte Verzeichnis und konfigurieren es mit dem folgenden Befehl:

cd suricata-5.0.3
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Als nächstes installieren Sie Suricata mit dem folgenden Befehl:

make
make install-full

Hinweis :Dieser Vorgang dauert über 10 Minuten

Als nächstes installieren Sie alle Regeln mit dem folgenden Befehl:

make install-rules

Sie können es mit dem folgenden Befehl anzeigen:

cat /var/lib/suricata/rules/suricata.rules

Schritt 4 – Suricata konfigurieren

Die standardmäßige Suricata-Konfigurationsdatei befindet sich unter /etc/suricata/suricata.yaml. Sie müssen es konfigurieren, um Ihr internes Netzwerk zu schützen. Sie können dies tun, indem Sie die Datei bearbeiten:

nano /etc/suricata/suricata.yaml

Ändern Sie die folgenden Zeilen:

    HOME_NET: "[192.168.1.0/24]"
    EXTERNAL_NET: "!$HOME_NET"

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Hinweis: Ersetzen Sie im obigen Befehl 192.168.1.0/24 mit Ihrem internen Netzwerk.

Schritt 5 – Suricata gegen DDoS testen

Bevor Sie beginnen, müssen Sie die Paketabladefunktionen auf der Netzwerkschnittstelle deaktivieren, auf der Suricata lauscht.

Installieren Sie zuerst das ethtool-Paket mit dem folgenden Befehl:

apt-get install ethtool -y

Deaktivieren Sie als Nächstes die Paketabladung mit dem folgenden Befehl:

ethtool -K eth0 gro off lro off

Als nächstes führen Sie Suricata im NFQ-Modus mit dem folgenden Befehl aus:

suricata -c /etc/suricata/suricata.yaml -q 0 &

Gehen Sie als Nächstes zum Remote-System und führen Sie einen einfachen DDoS-Angriffstest gegen den Suricata-Server mit dem hping3-Tool durch, wie unten gezeigt:

hping3 -S -p 80 --flood --rand-source your-server-ip

Überprüfen Sie auf dem Suricata-Server die Suricata-Protokolle mit dem folgenden Befehl:

tail -f /var/log/suricata/fast.log

Sie sollten die folgende Ausgabe sehen:

09/17/2020-07:29:52.934009  [**] [1:2402000:5670] ET DROP Dshield Block Listed Source group 1 [**] [Classification: Misc Attack] [Priority: 2] {TCP} 167.248.133.70:18656 -> your-server-ip:9407

Schlussfolgerung

Herzliche Glückwünsche! Sie haben Suricata IDS und IPS erfolgreich auf dem Ubuntu 20.04-Server installiert und konfiguriert. Sie können jetzt Suricata erkunden und Ihre eigenen Regeln erstellen, um Ihren Server vor DDoS-Angriffen zu schützen. Beginnen Sie mit Suricata auf VPS-Hosting von Atlantic.Net, und besuchen Sie für weitere Informationen die Suricata-Dokumentationsseite.


Linux

  1. So installieren und konfigurieren Sie den universellen Medienserver in Ubuntu 20.04

  2. So installieren und konfigurieren Sie Discourse auf einem Ubuntu 12.04 VPS

  3. Wie installiere und konfiguriere ich Fail2ban auf Ubuntu?

  4. So installieren und konfigurieren Sie Elasticsearch unter Ubuntu 18.04

  5. So installieren Sie VSFTP unter Ubuntu 20.04

So installieren Sie ScreenCloud unter Ubuntu 16.04 und Ubuntu 17.04

So installieren und konfigurieren Sie Apache Spark unter Ubuntu 21.04

So installieren und konfigurieren Sie Zsh in Ubuntu 20.04

So installieren Sie Gtop in CentOS7 und Ubuntu 18.04

So installieren Sie Grafana auf Ubuntu 18.04 und Debian 8

So installieren und konfigurieren Sie Sendmail unter Ubuntu