Como Instalar o Suricata IDS no Servidor Ubuntu 24.04

Suricata é um IDS (Sistema de Detecção de Intrusões) e IPS (Sistema de Prevenção de Intrusões) de código aberto desenvolvido pela OSIF (open infosec foundation). Ele pode monitorar e examinar o tráfego de rede e processar cada pacote para detectar atividades maliciosas na rede. Você pode configurar eventos de log, acionar alertas e até mesmo descartar tráfego para atividades suspeitas na rede.

Este tutorial mostrará como instalar o Suricata IDS no servidor Ubuntu 24.04. Você instalará e configurará o Suricata, baixará assinaturas e regras do ET e, em seguida, iniciará o Suricata em segundo plano como um serviço systemd.

Pré-requisitos

Para começar com este guia, certifique-se de ter o seguinte:

• Um servidor Ubuntu 24.04.
• Um usuário não-root com privilégios de administrador.

Instalando a partir do código-fonte

Nesta seção, você aprenderá como instalar o Suricata a partir do código-fonte, compilando-o manualmente em seu sistema. E antes disso, você instalará as dependências de pacotes para compilar o Suricata.

Primeiro, execute o comando abaixo para atualizar o índice de pacotes do Ubuntu e instalar as dependências de construção. Digite ‘Y‘ para confirmar a instalação.

sudo apt update  
sudo apt install autoconf automake build-essential cargo \  
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \  
libyaml-dev make pkg-config rustc zlib1g-dev

Agora vá para o diretório ‘/usr/src‘ e execute o seguinte comando para baixar o código-fonte do Suricata e extraí-lo.

cd /usr/src

wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz  
tar -xf suricata-7.0.6.tar.gz

Vá para o diretório ‘suricata-7.0.6‘ e configure a compilação do Suricata com o seguinte. Com isso, você configurará e instalará o arquivo binário do suricata no diretório ‘/usr/bin‘, a configuração do suricata em ‘/etc/suricata‘ e o diretório de dados em ‘/var/lib/suricata‘.

cd suricata-7.0.6/  
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Após a conclusão do processo, copie e instale o suricata com o comando abaixo.

sudo make && sudo make install-full

Uma vez que a instalação esteja completa, você verá o seguinte:

Por fim, execute o comando abaixo para localizar o arquivo binário ‘suricata‘ e verificar sua versão.

which suricata  
suricata --build-info

Na saída a seguir, você pode ver que o suricata ‘7.0.6‘ está instalado em ‘/usr/bin/suricata‘.

Instalando via repositório PPA

Se você preferir instalar o Suricata via APT, precisará adicionar o repositório PPA do suricata ao seu sistema Ubuntu. Além disso, certifique-se de que o pacote ‘software-properties‘ esteja instalado.

Adicione o repositório PPA para o suricata com o seguinte:

sudo add-apt-repository ppa:oisf/suricata-stable

Agora atualize o repositório do índice de pacotes do Ubuntu e instale o suricata com o comando ‘apt‘ abaixo.

sudo apt update  
sudo apt install suricata

Digite ‘Y‘ para prosseguir com a instalação.

Após a conclusão da instalação, verifique o arquivo binário do suricata e sua versão com o comando abaixo.

which suricata  
suricata --build-info

Você pode ver abaixo que o suricata 7.0.6 está instalado através do gerenciador de pacotes APT.

Por fim, execute o comando abaixo para habilitar e parar o serviço ‘suricata‘. Você precisa encerrar o suricata antes de configurá-lo.

sudo systemctl enable suricata  
sudo systemctl stop suricata

Configurando o Suricata

Nesta seção, você configurará o Suricata para monitorar a interface de rede. O Suricata capturará tráfego malicioso na interface alvo.

Abra a configuração padrão do suricata ‘/etc/suricata/suricata.yaml‘ usando o editor ‘nano‘.

sudo nano /etc/suricata/suricata.yaml

Se você estiver usando uma rede local, adicione sua sub-rede de rede doméstica às variáveis ‘HOME_NET‘ e ‘EXTERNAL_NET‘.

HOME_NET: "[192.168.5.0/24]"  
...  
EXTERNAL_NET: "!$HOME_NET"

Dentro da seção ‘af-packet‘, altere a ‘interface‘ padrão para sua interface alvo. Neste exemplo, monitoraremos a interface ‘enp0s3‘ com o suricata.

af-packet:  
 - interface: enp0s3

Adicione a opção ‘detect-engine‘ com ‘rule-reload: true‘ para habilitar o recarregamento ao vivo de regras.

detect-engine:  
 - rule-reload: true

Quando terminar, salve o arquivo e saia do editor.

Atualizando conjuntos de regras do suricata

Antes de iniciar e executar o Suricata, você precisa baixar e atualizar as assinaturas e regras do suricata. Isso pode ser feito através do utilitário de comando ‘suricata-update’.

Execute o comando ‘suricata-update‘ abaixo para baixar e atualizar as regras do ET do suricata. O suricata não iniciará quando as regras do ET estiverem ausentes.

sudo suricata-update

As regras do suricata são escritas no arquivo ‘/var/lib/suricata/suricata.rules‘ como o seguinte:

Você pode verificar as fontes das regras com o seguinte comando:

sudo suricata-update list-sources

Executando o suricata

Agora que você configurou o Suricata e baixou e atualizou as regras do ET, você testará as regras do suricata e, em seguida, iniciará e verificará o serviço ‘suricata’.

Para testar as regras do suricata, execute o comando ‘suricata‘ abaixo. Isso processará as regras disponíveis no arquivo ‘/var/wlib/suricata/suricata.rules‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Se não houver erro, você verá uma saída ‘suricata: A configuração fornecida foi carregada com sucesso.‘

Agora execute o comando abaixo para iniciar o serviço ‘suricata’ em segundo plano e verificá-lo.

sudo systemctl start suricata  
sudo systemctl status suricata

Na saída a seguir, você pode ver que o serviço ‘suricata‘ está em execução.

Conclusão

Parabéns! Você concluiu a instalação do Suricata IDS no servidor Ubuntu 24.04. Você aprendeu dois métodos para instalar o Suricata, compilando manualmente a partir do código-fonte e via gerenciador de pacotes APT. Você também aprendeu como configurar o Suricata, atualizar as assinaturas e regras do suricata e testar as regras do suricata.