Come installare Suricata IDS su Ubuntu 24.04 Server

Suricata è un IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) open-source sviluppato da OSIF (open infosec foundation). Può monitorare ed esaminare il traffico di rete e processare ogni pacchetto per rilevare attività di rete malevole. Puoi impostare eventi di log, attivare avvisi e persino bloccare il traffico per attività di rete sospette.

Questo tutorial ti mostrerà come installare Suricata IDS sul server Ubuntu 24.04. Installerai e configurerai Suricata, scaricherai le firme e le regole ET, e poi avvierai Suricata in background come servizio systemd.

Prerequisiti

Per iniziare con questa guida, assicurati di avere i seguenti requisiti:

• Un server Ubuntu 24.04.
• Un utente non root con privilegi di amministratore.

Installazione da codice sorgente

In questa sezione, imparerai come installare Suricata da codice sorgente compilandolo manualmente sul tuo sistema. E prima di ciò, installerai le dipendenze dei pacchetti per compilare Suricata.

Prima di tutto, esegui il comando qui sotto per aggiornare l’indice dei pacchetti di Ubuntu e installare le dipendenze di build. Inserisci ‘ Y ‘ per confermare l’installazione.

sudo apt update  
sudo apt install autoconf automake build-essential cargo \  
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \  
libyaml-dev make pkg-config rustc zlib1g-dev

Ora vai nella directory ‘ /usr/src ‘ ed esegui il seguente comando per scaricare il codice sorgente di Suricata ed estrarlo.

cd /usr/src

wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz  
tar -xf suricata-7.0.6.tar.gz

Vai nella directory ‘ suricata-7.0.6 ‘ e configura la compilazione di Suricata con il seguente comando. Con questo, installerai il file binario di suricata nella directory ‘ /usr/bin ‘, la configurazione di suricata in ‘ /etc/suricata ‘, e la directory dei dati in ‘ /var/lib/suricata ‘.

cd suricata-7.0.6/  
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Dopo che il processo è completato, copia e installa suricata con il comando qui sotto.

sudo make && sudo make install-full

Una volta completata l’installazione, vedrai il seguente messaggio:

Infine, esegui il comando qui sotto per localizzare il file binario ‘ suricata ‘ e controllare la sua versione.

which suricata  
suricata --build-info

Nell’output seguente, puoi vedere che suricata ‘ 7.0.6 ‘ è installato in ‘ /usr/bin/suricata ‘.

Installazione tramite repository PPA

Se preferisci installare Suricata tramite APT, devi aggiungere il repository PPA di suricata al tuo sistema Ubuntu. Assicurati anche che il pacchetto ‘ software-properties ‘ sia installato.

Aggiungi il repository PPA per suricata con il seguente comando:

sudo add-apt-repository ppa:oisf/suricata-stable

Ora aggiorna il tuo indice dei pacchetti di Ubuntu e installa suricata con il comando ‘ apt ‘ qui sotto.

sudo apt update  
sudo apt install suricata

Inserisci ‘ Y ‘ per procedere con l’installazione.

Dopo che l’installazione è completata, controlla il file binario di suricata e la sua versione con il comando qui sotto.

which suricata  
suricata --build-info

Puoi vedere qui sotto che suricata 7.0.6 è installato tramite il gestore di pacchetti APT.

Infine, esegui il comando qui sotto per abilitare e fermare il servizio ‘ suricata ‘. Devi terminare suricata prima di configurarlo.

sudo systemctl enable suricata  
sudo systemctl stop suricata

Configurazione di Suricata

In questa sezione, configurerai Suricata per monitorare l’interfaccia di rete. Suricata catturerà il traffico malevolo sull’interfaccia target.

Apri la configurazione predefinita di suricata ‘ /etc/suricata/suricata.yaml ‘ utilizzando l’editor ‘ nano ‘.

sudo nano /etc/suricata/suricata.yaml

Se stai utilizzando una rete locale, aggiungi il tuo subnet di rete domestica alle variabili ‘ HOME_NET ‘ e ‘ EXTERNAL_NET ‘.

HOME_NET: "[192.168.5.0/24]"  
...  
EXTERNAL_NET: "!$HOME_NET"

All’interno della sezione ‘ af-packet ‘, cambia l’ ‘ interface ‘ predefinita con la tua interfaccia target. In questo esempio, monitoreremo l’interfaccia ‘ enp0s3 ‘ con suricata.

af-packet:  
 - interface: enp0s3

Aggiungi l’opzione ‘ detect-engine ‘ con ‘ rule-reload: true ‘ per abilitare il ricaricamento delle regole in tempo reale.

detect-engine:  
 - rule-reload: true

Quando hai finito, salva il file ed esci dall’editor.

Aggiornamento dei set di regole di suricata

Prima di avviare e far funzionare Suricata, devi scaricare e aggiornare le firme e le regole di suricata. Questo può essere fatto tramite il comando utility ‘suricata-update’.

Esegui il comando ‘ suricata-update ‘ qui sotto per scaricare e aggiornare le regole ET di suricata. Suricata non si avvierà quando mancano le regole ET.

sudo suricata-update

Le regole di suricata sono scritte nel file ‘ /var/lib/suricata/suricata.rules ‘ come segue:

Puoi controllare le fonti delle regole con il seguente comando:

sudo suricata-update list-sources

Esecuzione di suricata

Ora che hai configurato Suricata, e scaricato e aggiornato le regole ET, testerai le regole di suricata, e poi avvierai e verificherai il servizio ‘suricata’.

Per testare le regole di suricata, esegui il comando ‘ suricata ‘ qui sotto. Questo elaborerà le regole disponibili nel file ‘ /var/wlib/suricata/suricata.rules ‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Se non ci sono errori, vedrai un output ‘ suricata: La configurazione fornita è stata caricata con successo. ‘

Ora esegui il comando qui sotto per avviare il servizio ‘suricata’ in background e verificarlo.

sudo systemctl start suricata  
sudo systemctl status suricata

Nell’output seguente, puoi vedere che il servizio ‘ suricata ‘ è in esecuzione.

Conclusione

Congratulazioni! Hai completato l’installazione di Suricata IDS sul server Ubuntu 24.04. Hai appreso due metodi per installare Suricata, compilando manualmente dal sorgente e tramite il gestore di pacchetti APT. Hai anche imparato come configurare Suricata, aggiornare le firme e le regole di suricata, e testare le regole di suricata.