Cómo instalar Suricata IDS en el servidor Ubuntu 24.04

Suricata es un IDS (Sistema de Detección de Intrusiones) y un IPS (Sistema de Prevención de Intrusiones) de código abierto desarrollado por OSIF (open infosec foundation). Puede monitorear y examinar el tráfico de red y procesar cada paquete para detectar actividad maliciosa en la red. Puedes configurar eventos de registro, activar alertas e incluso descartar tráfico por actividad sospechosa en la red.

Este tutorial te mostrará cómo instalar Suricata IDS en el servidor Ubuntu 24.04. Instalarás y configurarás Suricata, descargarás firmas y reglas de ET, y luego iniciarás Suricata en segundo plano como un servicio systemd.

Prerrequisitos

Para comenzar con esta guía, asegúrate de tener lo siguiente:

Un servidor Ubuntu 24.04.
Un usuario no root con privilegios de administrador.

Instalación desde el código fuente

En esta sección, aprenderás a instalar Suricata desde el código fuente compilándolo manualmente en tu sistema. Y antes de eso, instalarás las dependencias de paquetes para compilar Suricata.

Primero, ejecuta el siguiente comando para actualizar el índice de paquetes de Ubuntu e instalar las dependencias de construcción. Ingresa ‘ Y ‘ para confirmar la instalación.

sudo apt update  
sudo apt install autoconf automake build-essential cargo \  
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \  
libyaml-dev make pkg-config rustc zlib1g-dev

install deps

Ahora ve al directorio ‘ /usr/src ‘ y ejecuta el siguiente comando para descargar el código fuente de Suricata y extraerlo.

cd /usr/src

wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz  
tar -xf suricata-7.0.6.tar.gz

Ve al directorio ‘ suricata-7.0.6 ‘ y configura la compilación de Suricata con lo siguiente. Con esto, configurarás e instalarás el archivo binario de suricata en el directorio ‘ /usr/bin ‘, la configuración de suricata en ‘ /etc/suricata ‘, y el directorio de datos en ‘ /var/lib/suricata ‘.

cd suricata-7.0.6/  
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

configure suricata compile

Una vez que el proceso esté completo, copia e instala suricata con el siguiente comando.

sudo make && sudo make install-full

Una vez que la instalación esté completa, verás lo siguiente:

compile and install-full

Por último, ejecuta el siguiente comando para localizar el archivo binario ‘ suricata ‘ y verificar su versión.

which suricata  
suricata --build-info

En la salida siguiente, puedes ver que suricata ‘ 7.0.6 ‘ está instalado en ‘ /usr/bin/suricata ‘.

check version

Instalación a través del repositorio PPA

Si prefieres instalar Suricata a través de APT, necesitas agregar el repositorio PPA de suricata a tu sistema Ubuntu. Además, asegúrate de que el paquete ‘ software-properties ‘ esté instalado.

Agrega el repositorio PPA para suricata con lo siguiente:

sudo add-apt-repository ppa:oisf/suricata-stable

add ppa

Ahora actualiza tu índice de paquetes de Ubuntu e instala suricata con el comando ‘ apt ‘ a continuación.

sudo apt update  
sudo apt install suricata

Ingresa ‘ Y ‘ para continuar con la instalación.

update install

Después de que la instalación esté completa, verifica el archivo binario de suricata y su versión con el siguiente comando.

which suricata  
suricata --build-info

Puedes ver a continuación que suricata 7.0.6 está instalado a través del gestor de paquetes APT.

check version

Por último, ejecuta el siguiente comando para habilitar y detener el servicio ‘ suricata ‘. Necesitas terminar suricata antes de configurarlo.

sudo systemctl enable suricata  
sudo systemctl stop suricata

stop service

Configurando Suricata

En esta sección, configurarás Suricata para monitorear la interfaz de red. Suricata capturará tráfico malicioso en la interfaz de destino.

Abre la configuración predeterminada de suricata ‘ /etc/suricata/suricata.yaml ‘ usando el editor ‘ nano ‘.

sudo nano /etc/suricata/suricata.yaml

Si estás usando una red local, agrega tu subred de red doméstica a las variables ‘ HOME_NET ‘ y ‘ EXTERNAL_NET ‘.

HOME_NET: "[192.168.5.0/24]"  
...  
EXTERNAL_NET: "!$HOME_NET"

Dentro de la sección ‘ af-packet ‘, cambia la ‘ interface ‘ predeterminada a tu interfaz de destino. En este ejemplo, monitorearemos la interfaz ‘ enp0s3 ‘ con suricata.

af-packet:  
 - interface: enp0s3

Agrega la opción ‘ detect-engine ‘ con ‘ rule-reload: true ‘ para habilitar la recarga de reglas en vivo.

detect-engine:  
 - rule-reload: true

Cuando termines, guarda el archivo y sal del editor.

Actualizando los conjuntos de reglas de suricata

Antes de iniciar y ejecutar Suricata, necesitas descargar y actualizar las firmas y reglas de suricata. Esto se puede hacer a través de la utilidad de comando ‘suricata-update’.

Ejecuta el comando ‘ suricata-update ‘ a continuación para descargar y actualizar las reglas de ET de suricata. Suricata no se iniciará cuando falten las reglas de ET.

sudo suricata-update

Las reglas de suricata se escriben en el archivo ‘ /var/lib/suricata/suricata.rules ‘ como el siguiente:

update rules

testing

Puedes verificar las fuentes de las reglas con el siguiente comando:

sudo suricata-update list-sources

Ejecutando suricata

Ahora que has configurado Suricata, y descargado y actualizado las reglas de ET, probarás las reglas de suricata, y luego iniciarás y verificarás el servicio ‘suricata’.

Para probar las reglas de suricata, ejecuta el comando ‘ suricata ‘ a continuación. Esto procesará las reglas disponibles dentro del archivo ‘ /var/wlib/suricata/suricata.rules ‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Si no hay error, verás una salida ‘ suricata: La configuración proporcionada se cargó correctamente. ‘

test suricata

Ahora ejecuta el siguiente comando para iniciar el servicio ‘suricata’ en segundo plano y verificarlo.

sudo systemctl start suricata  
sudo systemctl status suricata

En la salida siguiente, puedes ver que el servicio ‘ suricata ‘ está en ejecución.

verify service

Conclusión

¡Felicidades! Has completado la instalación de Suricata IDS en el servidor Ubuntu 24.04. Has aprendido dos métodos para instalar Suricata, compilando manualmente desde la fuente y a través del gestor de paquetes APT. También has aprendido cómo configurar Suricata, actualizar las firmas y reglas de suricata, y probar las reglas de suricata.