Как установить Suricata IDS на сервер Ubuntu 24.04

Suricata — это система обнаружения вторжений (IDS) и система предотвращения вторжений (IPS) с открытым исходным кодом, разработанная OSIF (open infosec foundation). Она может мониторить и анализировать сетевой трафик и обрабатывать каждый пакет для обнаружения вредоносной сетевой активности. Вы можете настраивать события журналирования, вызывать оповещения и даже блокировать трафик для подозрительной сетевой активности.

Этот учебник покажет вам, как установить Suricata IDS на сервер Ubuntu 24.04. Вы установите и настроите Suricata, загрузите ET сигнатуры и правила, а затем запустите Suricata в фоновом режиме как службу systemd.

Предварительные требования

Для начала убедитесь, что у вас есть следующее:

• Сервер Ubuntu 24.04.
• Пользователь без прав root с правами администратора.

Установка из исходного кода

В этом разделе вы узнаете, как установить Suricata из исходного кода, вручную скомпилировав его на вашей системе. А перед этим вы установите зависимости пакетов для компиляции Suricata.

Сначала выполните команду ниже, чтобы обновить индекс пакетов Ubuntu и установить зависимости для сборки. Введите ‘ Y ‘, чтобы подтвердить установку.

sudo apt update  
sudo apt install autoconf automake build-essential cargo \  
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \  
libyaml-dev make pkg-config rustc zlib1g-dev

Теперь перейдите в директорию ‘ /usr/src ‘ и выполните следующую команду, чтобы загрузить исходный код Suricata и извлечь его.

cd /usr/src

wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz  
tar -xf suricata-7.0.6.tar.gz

Перейдите в директорию ‘ suricata-7.0.6 ‘ и настройте компиляцию Suricata следующим образом. С этим вы установите и установите бинарный файл suricata в директорию ‘ /usr/bin ‘, конфигурацию suricata в ‘ /etc/suricata ‘, а директорию данных в ‘ /var/lib/suricata ‘.

cd suricata-7.0.6/  
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

После завершения процесса скопируйте и установите suricata с помощью команды ниже.

sudo make && sudo make install-full

После завершения установки вы увидите следующее:

Наконец, выполните команду ниже, чтобы найти бинарный файл ‘ suricata ‘ и проверить его версию.

which suricata  
suricata --build-info

В следующем выводе вы можете увидеть, что suricata ‘ 7.0.6 ‘ установлена в ‘ /usr/bin/suricata ‘.

Установка через PPA репозиторий

Если вы предпочитаете установить Suricata через APT, вам нужно добавить PPA репозиторий suricata в вашу систему Ubuntu. Также убедитесь, что пакет ‘ software-properties ‘ установлен.

Добавьте PPA репозиторий для suricata следующим образом:

sudo add-apt-repository ppa:oisf/suricata-stable

Теперь обновите индекс репозитория пакетов Ubuntu и установите suricata с помощью команды ‘ apt ‘ ниже.

sudo apt update  
sudo apt install suricata

Введите ‘ Y ‘, чтобы продолжить установку.

После завершения установки проверьте бинарный файл suricata и его версию с помощью команды ниже.

which suricata  
suricata --build-info

Вы можете увидеть ниже, что suricata 7.0.6 установлена через менеджер пакетов APT.

Наконец, выполните команду ниже, чтобы включить и остановить службу ‘ suricata ‘. Вам нужно завершить suricata перед ее настройкой.

sudo systemctl enable suricata  
sudo systemctl stop suricata

Настройка Suricata

В этом разделе вы настроите Suricata для мониторинга сетевого интерфейса. Suricata будет захватывать вредоносный трафик на целевом интерфейсе.

Откройте конфигурацию suricata по умолчанию ‘ /etc/suricata/suricata.yaml ‘ с помощью редактора ‘ nano ‘.

sudo nano /etc/suricata/suricata.yaml

Если вы используете локальную сеть, добавьте подсеть вашей домашней сети в переменные ‘ HOME_NET ‘ и ‘ EXTERNAL_NET ‘.

HOME_NET: "[192.168.5.0/24]"  
...  
EXTERNAL_NET: "!$HOME_NET"

В разделе ‘ af-packet ‘ измените значение по умолчанию ‘ interface ‘ на ваш целевой интерфейс. В этом примере мы будем мониторить интерфейс ‘ enp0s3 ‘ с помощью suricata.

af-packet:  
 - interface: enp0s3

Добавьте опцию ‘ detect-engine ‘ с ‘ rule-reload: true ‘, чтобы включить живую перезагрузку правил.

detect-engine:  
 - rule-reload: true

Когда закончите, сохраните файл и выйдите из редактора.

Обновление наборов правил suricata

Перед тем как запустить и запустить Suricata, вам нужно загрузить и обновить сигнатуры и правила suricata. Это можно сделать с помощью утилиты командной строки ‘suricata-update’.

Запустите команду ‘ suricata-update ‘ ниже, чтобы загрузить и обновить правила suricata ET. Suricata не запустится, если правила ET отсутствуют.

sudo suricata-update

Правила suricata записываются в файл ‘ /var/lib/suricata/suricata.rules ‘ следующим образом:

Вы можете проверить источники правил с помощью следующей команды:

sudo suricata-update list-sources

Запуск suricata

Теперь, когда вы настроили Suricata и загрузили и обновили правила ET, вы протестируете правила suricata, а затем запустите и проверьте службу ‘suricata’.

Чтобы протестировать правила suricata, выполните команду ‘ suricata ‘ ниже. Это обработает доступные правила в файле ‘ /var/wlib/suricata/suricata.rules ‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Если ошибок нет, вы получите вывод ‘ suricata: Конфигурация была успешно загружена. ‘

Теперь выполните команду ниже, чтобы запустить службу ‘suricata’ в фоновом режиме и проверить ее.

sudo systemctl start suricata  
sudo systemctl status suricata

В следующем выводе вы можете увидеть, что служба ‘ suricata ‘ работает.

Заключение

Поздравляем! Вы завершили установку Suricata IDS на сервер Ubuntu 24.04. Вы узнали два метода установки Suricata: ручная компиляция из исходного кода и установка через менеджер пакетов APT. Вы также узнали, как настроить Suricata, обновить сигнатуры и правила suricata и протестировать правила suricata.