Cómo instalar Suricata IDS en Ubuntu 20.04

Suricatá es una herramienta de detección de amenazas de red de código abierto con características tales como detección de intrusiones, prevención de intrusiones y monitoreo de seguridad de la red. Sobresale en la inspección profunda de paquetes y la coincidencia de patrones, lo que lo convierte en una herramienta invaluable para detectar amenazas y ataques.

Suricata puede generar registros, eliminar tráfico y activar alertas en caso de que haya paquetes sospechosos en su red. Esta guía lo guiará a través de la instalación de Suricata IDS en ubuntu 20.04

Paso 1: Actualice su sistema

Primero, asegúrese de que los paquetes de su sistema estén actualizados. Ejecute el comando:

                      
                        $ sudo apt update
                      
                    

Una vez que se actualice el índice del paquete, continúe con el siguiente paso.

Paso 2: agregar el repositorio de Suricata

La última versión estable de Suricata está disponible en el repositorio PPA mantenido por OISF. Por lo tanto, vamos a agregar el repositorio de Suricata en su sistema Ubuntu como se muestra;

                      
                        $ sudo add-apt-repository ppa:oisf/suricata-stable
                      
                    

A partir de entonces, actualice el índice de paquetes de su sistema.

                      
                        $ sudo apt update
                      
                    

Con el PPA en su lugar, diríjase al siguiente paso e instale el Suricat IDS.

Paso 3: Instalar Suricata

Para instalar Suricata ejecute el comando:

                      
                        $ sudo apt install suricata
                      
                    

Con la instalación de Suricata, vayamos un paso más allá y habilitemos que se inicie en el momento del arranque.

                      
                        $ sudo systemctl enable suricata.service
                      
                    

A continuación, asegúrese de que la instalación se haya realizado correctamente ejecutando el siguiente comando:

                      
                        $ sudo suricata –build-info
                      
                    

Confirme que el servicio systemd de Suricata se está ejecutando de la siguiente manera:

                      
                        $ sudo systemctl status suricata
                      
                    

El resultado confirma que Suricata está funcionando en Ubuntu 20.04

Paso 4: Configuración básica

El archivo de configuración de Suricata se encuentra en el /etc/suricata/suricata.yaml sendero. Para la configuración básica, necesitamos configurar Suricata para su red interna y externa. Abra el archivo de configuración como se muestra:

                      
                        $ sudo vim /etc/suricata/suricata.yaml
                      
                    

Luego, especifique la dirección IP para la variable HOME_NET. En este caso, mi dirección IP es 192.168.100.7. La variable HOME_NET es la dirección IP de su red local o interfaz que desea monitorear. A continuación, defina el valor de EXTERNA_NET como cualquier red que no sea su dirección IP local.

A continuación, vaya a la sección af-packet en el archivo de configuración y cambie el nombre de la interfaz para reflejar la interfaz de red elegida anteriormente.

Paso 5: Reglas de Suricata

Suricata le permite crear reglas de red o firmas según sus requisitos. Las reglas más comunes incluyen Emerging Threats y Emerging Threats Pro.

El archivo de reglas se encuentra en el /etc/suricata/reglas/ directorio. Para ver el contenido ejecuta:

                      
                        $ ls /etc/suricata/rules/
                      
                    

Para instalar el conjunto de reglas de Emerging Threats Open, ejecute:

                      
                        $ sudo suricata-update
                      
                    

Esto instalará las reglas en el /var/lib/suricata/reglas/ directorio.

Paso 6: Ejecutar Suricata

Después de instalar todas las reglas, puede reiniciar el servicio IDS de Suricata como se muestra:

                      
                        $ sudo systemctl restart suricata
                      
                    

También puede consultar los registros de Suricata como se muestra:

                      
                        $ sudo tail /var/log/suricata/suricata.log
                      
                    

Eso es todo con la instalación de Suricata IDS en Ubuntu 20.04. Para más información dirígete a la página de documentación .

Related Posts