Как установить Suricata IDS в Rocky Linux
Suricata — это бесплатный инструмент с открытым исходным кодом для обнаружения вторжений (IDS), предотвращения вторжений (IPS) и мониторинга сетевой безопасности (NSM) для Linux. Он использует набор сигнатур и правил для проверки и обработки сетевого трафика. При обнаружении подозрительных пакетов для любого количества сервисов на сервере они немедленно блокируются.
По умолчанию Suricata работает как пассивная система обнаружения вторжений, сканируя трафик на сервере на наличие подозрительных пакетов. Однако вы также можете использовать его в качестве системы превентивного предотвращения вторжений (IPS) для регистрации, составления отчетов и полной блокировки сетевого трафика, который соответствует определенным правилам.
Из этого туториала вы узнаете, как установить Suricata IDS на сервер Rocky Linux.
Запрос
- Сервер работает или 9
- Пароль root настроен на сервере.
Установите Suricata в Rocky Linux
Suricata не включена в репозитории Rocky Linux по умолчанию. Поэтому вам необходимо установить его из репозитория EPEL.
Сначала установите репозиторий EPEL с помощью следующей команды:
dnf установить epel-release -y
После установки EPEL проверьте информацию о пакете Suricata с помощью следующей команды:
информация dnf suricata
Вы получите следующий результат:
Имя доступных пакетов: suricata Версия: 5.0.8 Версия: 1.el8 Архитектура: x86_64 Размер: 2,3 М Источник: suricata-5.0.8-1.el8.src.rpm Репозиторий: epel Сводка: URL-адрес системы обнаружения вторжений: Лицензия: GPLv2 Описание: Suricata Engine — это механизм обнаружения и предотвращения вторжений следующего поколения с открытым исходным кодом. Этот движок не предназначен для того, чтобы: просто заменить или имитировать существующие инструменты в отрасли, но: привнесет в эту область новые идеи и технологии. Этот новый движок: поддерживает многопоточность, автоматическое определение протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB!), декомпрессию Gzip, быстрое сопоставление IP и идентификацию GeoIP.
Затем установите Suricata с помощью следующей команды:
dnf установить suricata -y
После успешной установки можно переходить к следующему шагу.
Конфигурация Суриката
Suricata содержит множество правил, называемых сигнатурами, для обнаружения угроз. Все правила находятся в каталоге /etc/suricata/rules/.
Запустите следующую команду, чтобы просмотреть все правила:
ls /etc/suricata/rules/
Вы получите следующий результат:
app-layer-events.rules dnp3-events.rules http-events.rules modbus-events.rules smb-events.rules tls-events.rules decoder-events.rules dns-events.rules ipsec-events.rules nfs-events .rules smtp-events.rules dhcp-events.rules files.rules kerberos-events.rules ntp-events.rulesstream-events.rules
Затем выполните следующую команду, чтобы обновить все правила:
suricata-обновление
Вы получите следующий результат:
19.09.2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/app-layer-events.rules 19/9/2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/decoder-events.rules 19.09.2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/dhcp-events. Rules 19.09.2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/dnp3-events.rules 19/9/2023 — 05:28:15 – — Загрузка файл правил распространения /usr/share/suricata/rules/dns-events.rules 19.09.2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/files.rules 19/ 9/2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/http-events.rules 19/9/2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/ipsec-events.rules 19.09.2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/kerberos-events.rules 19/9 /2023 — 05:28:15 — — Загрузка файла правил распределения /usr/share/suricata/rules/modbus-events.rules 19/9/2023 — 05:28:15 – — Загрузка файла правил распределения / usr/share/suricata/rules/nfs-events.rules 19.09.2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/ntp-events.rules 19/9/ 2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/smb-events.rules 19/9/2023 — 05:28:15 – — Загрузка файла правил распространения /usr /share/suricata/rules/smtp-events.rules 19.09.2023 — 05:28:15 — — Загрузка файла правил распространения /usr/share/suricata/rules/stream-events.rules 19.09.2023 — 05:28:15 – — Загрузка файла правил распространения /usr/share/suricata/rules/tls-events.rules 19/9/2023 — 05:28:15 – — Игнорирование файла rule/emerging-deleted .rules 19.09.2023 — 05:28:20 — — Загружено 32403 правил. 19.09.2023 — 05:28:20 — — Отключено 14 правил. 19.09.2023 — 05:28:20 – — Включено 0 правил. 19.09.2023 — 05:28:20 – — Изменено 0 правил. 19.09.2023 — 05:28:20 — — Удален 0 правил. 19.09.2023 — 05:28:21 – — Включено 131 правило для зависимостей потока. 19.09.2023 — 05:28:21 — — Резервное копирование текущих правил. 19.09.2023 — 05:28:26 — — Запись правил в /var/lib/suricata/rules/suricata.rules: всего: 32403; включено: 25008; добавлено: 0; удалено 0; изменено: 0 19.09.2023 — 05:28:27 — — Запись /var/lib/suricata/rules/classification.config 19.09.2023 — 05:28:27 — — Никаких изменений не обнаружено, выход.
Затем отредактируйте файл конфигурации Suricata и укажите IP-адрес вашего сервера, путь к правилу и сетевой интерфейс:
нано /etc/suricata/suricata.yaml
Измените следующие строки:
#HOME_NET: “(192.198.0.0/19,10.0.0.0/8,172.19.0.0/12)” HOME_NET: “(192.198.1.48)” #HOME_NET: “(192.198.0.0/19)” #HOME_NET: “(10.0. 0.0/8)” #HOME_NET: “(172.19.0.0/12)” #HOME_NET: “any” EXTERNAL_NET: “!$HOME_NET” #EXTERNAL_NET: “любой” af-пакет: – интерфейс: eth0 путь-правила-по умолчанию: /var/lib/suricata/rules файлы правил: – suricata.rules
Сохраните и закройте файл, когда закончите, и отключите функцию разгрузки с помощью следующей команды:
ethtool -K eth0 gro off lro off
Управление сервисом Suricata
Затем запустите службу Suricata и включите ее с помощью следующей команды, чтобы она открывалась при перезапуске системы:
systemctl start suricata systemctl включить suricata
Вы можете проверить статус Suricata с помощью следующей команды:
статус systemctl suricata
Вы получите следующий результат:
? suricata.service — служба обнаружения вторжений Suricata Загружено: загружено (/usr/lib/systemd/system/suricata.service; включено; предустановка поставщика: отключено) Активно: активно (работает) со среды 2022-03-19 10:06:20 УНИВЕРСАЛЬНОЕ ГЛОБАЛЬНОЕ ВРЕМЯ; 5 с назад Документы: man:suricata(1) Процесс: 24047 ExecStartPre=/bin/rm -f /var/run/suricata.pid (код=exited, status=0/SUCCESS) Основной PID: 24049 (Suricata-Main) Задачи : 1 (ограничение: 23696) Память: 232,9 МБ CGroup: /system.slice/suricata.service ??24049 /sbin/suricata -c /etc/suricata/suricata.yaml –pidfile /var/run/suricata.pid – i eth0 –user suricata 19 сентября 10:06:20 rockylinux systemd (1): Запуск службы обнаружения вторжений Suricata. 19 сентября, 10:06:20 rockylinux systemd(1): Запущена служба обнаружения вторжений Suricata. 19 сентября 10:06:20 rockylinux suricata (24049): 19.09.2023 – 10:06:20 – – Это версия Suricata 5.0.8 RELEASE, работающая в СИСТЕМНОМ режиме.
Чтобы проверить журнал процесса Suricata, выполните следующую команду:
хвост /var/log/suricata/suricata.log
Вы увидите следующий результат:
19.09.2023 – 10:06:23 – – Запуск в режиме реального времени, активация unix-сокета 19.09.2023 – 10:06:23 – – Поддержка SSSE3 не обнаружена, отключение Hyperscan для SPM 19.09.2023 — 10:06:23 — Обработан 1 файл правил. 24930 правил успешно загружено, 0 правил не удалось 19.09.2023 — 10:06:23 — – Конфигурация порога проанализирована: найдено 0 правил 19.09.2023 — 10:06:23 — – Обработано 24933 подписи. 1283 — правила только для IP, 4109 — проверка полезной нагрузки пакета, 19340 — проверка уровня приложения, 105 — только события декодера 19.09.2023 — 10:06:23 — — Собираюсь использовать 2 потока(ов) 19.09.2023 — 10:06:23 – – Запуск в режиме реального времени, активация сокета unix 19/9/2023 — 10:06:23 – – Использование файла сокета unix ‘/var/run/suricata/suricata-command.socket’ 19 /9/2023 — 10:06:23 — все 2 потока обработки пакетов, 4 потока управления инициализированы, механизм запущен. 19.09.2023 — 10:06:23 — Все потоки захвата AFP запущены.
Вы можете проверить журнал предупреждений Suricata с помощью следующей команды:
хвост -f /var/log/suricata/fast.log
Вы увидите следующий результат:
19.19.2022-10:06:23.059177 (**) (1:2402000:6215) ET DROP Dshield Block Listed Source group 1 (**) (Классификация: Разная атака) (Приоритет: 2) {TCP} 45.155. 205.43:54612 -> 209.23.8.4:14381 19.09.2023-10:06:23.059177 (**) (1:2403342:73004) ET CINS Active Threat Intelligence Плохая репутация IP-группа 43 (**) (Классификация: Разное Атака) (Приоритет: 2) {TCP} 45.155.205.43:54612 -> 209.23.8.4:14381
Чтобы проверить журнал статистики Suricata, используйте следующую команду:
хвост -f /var/log/suricata/stats.log
Вы увидите следующий результат:
————————————————– ———————————- Счетчик | Название ТМ | Ценить ————————————————- ———————————– capture.kernel_packets | Всего | 651 декодер.пкц | Всего | 651 декодер.байт | Всего | 51754 декодер.ipv4 | Всего | 398 декодер.ipv6 | Всего | 251 декодер.ethernet | Всего | 651
Тест Suricata IDS
После установки Suricata IDS вам также необходимо проверить, работает ли Suricata IDS или нет. Для этого войдите в другую систему и установите утилиту hping3 для проведения DDoS-атаки.
dnf установить hping3
После установки hping3 выполните следующую команду для проведения DDoS-атаки:
hping3 -S -p 22 –flood –rand-source suricata-ip
Теперь перейдите в систему Suricata и проверьте журнал предупреждений с помощью следующей команды:
хвост -f /var/log/suricata/fast.log
Вы увидите следующий результат:
19.09.2023-10:08:18.049526 (**) (1:2403393:73004) ET CINS Active Threat Intelligence Плохая репутация IP-группа 94 (**) (Классификация: разные атаки) (Приоритет: 2) {TCP} 89.248.193.194:44217 -> 209.23.8.4:37394 19.09.2023-10:08:52.933947 (**) (1:2402000:6215) ET DROP Dshield Block Listed Source group 1 (**) (Классификация: Разное Атака) (Приоритет: 2) {TCP} 197.248.133.173:24721 -> 209.23.8.4:9307 19.09.2023-10:09:52.284374 (**) (1:2402000:6215) ET DROP Dshield Block Listed Source группа 1 (**) (Классификация: Разная атака) (Приоритет: 2) {TCP} 89.248.195.202:57104 -> 209.23.8.4:6061 19.09.2023-10:10:52.284374 (**) (1: 2403393:73004) ET CINS Active Threat Intelligence Плохая репутация IP-группа 94 (**) (Классификация: Misc Attack) (Приоритет: 2) {TCP} 89.248.195.202:57104 -> 209.23.8.4:6061 19.09.2023- 10:10:19.951353 (**) (1:2403341:73004) ET CINS Активная информация об угрозах Плохая репутация IP-группа 42 (**) (Классификация: разные атаки) (Приоритет: 2) {TCP} 45.137.21.208:42694 – > 209.23.8.4:57335 19.09.2023-10:11:21.477358 (**) (1:2403369:73004) ET CINS Активная информация об угрозах Плохая репутация IP-группа 70 (**) (Классификация: разные атаки) (Приоритет) : 2) {TCP} 61.190.237.40:48539 -> 209.23.8.4:2375
В приведенной выше статье вы познакомились с «Как установить Suricata IDS в Rocky Linux». СоветыНадейтесь, что эта статья вам поможет! Если эта статья кажется вам интересной и полезной, не забудьте поделиться ею. Спасибо!
