Ինչպես տեղադրել Suricata IDS-ը Ubuntu 24.04 սերվերի վրա


Այս ձեռնարկը գոյություն ունի ՕՀ-ի այս տարբերակների համար

  • Ubuntu 24.04 (Noble Numbat)
  • Ubuntu 22.04 (Jammy Jellyfish)
  • Ubuntu 20.04 (Կիզակետային Fossa)
  • Ubuntu 18.04 (Bionic Beaver)

Այս էջում

  1. Նախադրյալներ
  2. Տեղադրում սկզբնական կոդից
  3. Տեղադրում PPA պահեստի միջոցով
  4. Suricata-ի կազմաձևում
  5. Սուրիկատայի կանոնների հավաքածուների թարմացում
  6. Վազում suricata
  7. Եզրակացություն

Suricata-ն բաց կոդով IDS (Intrusion Detection System) և IPS (Intrusion Prevention System) է, որը մշակվել է OSIF-ի (open infosec հիմնադրամ) կողմից: Այն կարող է վերահսկել և ուսումնասիրել ցանցի տրաֆիկը և մշակել յուրաքանչյուր փաթեթ՝ ցանցի վնասակար գործունեությունը հայտնաբերելու համար: Դուք կարող եք կարգավորել գրանցամատյանների իրադարձությունները, ազդանշաններ գործարկել և նույնիսկ թողնել երթևեկությունը ցանցի կասկածելի գործունեության համար:

Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես տեղադրել Suricata IDS-ը Ubuntu 24.04 սերվերի վրա: Դուք կտեղադրեք և կարգավորեք Suricata-ն, ներբեռնեք ET ստորագրություններն ու կանոնները, այնուհետև կսկսեք Suricata-ն հետին պլանում՝ որպես համակարգված ծառայություն:

Նախադրյալներ

Այս ուղեցույցով սկսելու համար համոզվեք, որ ունեք հետևյալը.

  • Ubuntu 24.04 սերվեր:
  • Ոչ արմատական օգտվող, ադմինիստրատորի արտոնություններով:

Տեղադրում սկզբնական կոդից

Այս բաժնում դուք կսովորեք, թե ինչպես տեղադրել Suricata-ն սկզբնական կոդից՝ այն ձեռքով կազմելով ձեր համակարգում: Իսկ մինչ այդ դուք կտեղադրեք փաթեթային կախվածություններ Suricata-ի կազմման համար։

Նախ, գործարկեք ստորև նշված հրամանը՝ ձեր Ubuntu փաթեթի ինդեքսը թարմացնելու և կառուցապատման կախվածությունները տեղադրելու համար: Տեղադրումը հաստատելու համար մուտքագրեք «Y»:

sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev

Այժմ գնացեք «/usr/src» գրացուցակը և գործարկեք հետևյալ հրամանը՝ Suricata-ի սկզբնական կոդը ներբեռնելու և այն հանելու համար:

cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz

Գնացեք «suricata-7.0.6» գրացուցակ և կազմաձևեք Suricata հավաքածուն հետևյալով: Դրանով դուք կտեղադրեք և կտեղադրեք suricata երկուական ֆայլը «/usr/bin» գրացուցակում, suricata-ի կոնֆիգուրացիան՝ «/etc/suricata», և տվյալների գրացուցակը դեպի «/var/lib/suricata»:

cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Գործընթացն ավարտվելուց հետո պատճենեք և տեղադրեք suricata ստորև նշված հրամանով:

sudo make && sudo make install-full

Տեղադրումն ավարտվելուց հետո կտեսնեք հետևյալը.

Վերջապես գործարկեք ստորև նշված հրամանը՝ «suricata» երկուական ֆայլը գտնելու և դրա տարբերակը ստուգելու համար:

which suricata
suricata --build-info

Հետևյալ ելքում դուք կարող եք տեսնել, որ suricata «7.0.6»-ը տեղադրված է «/usr/bin/suricata» հասցեում:

Տեղադրում PPA պահեստի միջոցով

Եթե նախընտրում եք տեղադրել Suricata-ն APT-ի միջոցով, դուք պետք է ավելացնեք suricata PPA պահոցը ձեր Ubuntu համակարգին: Նաև համոզվեք, որ «ծրագրային ապահովման հատկությունները» փաթեթը տեղադրված է:

Ավելացնել PPA պահեստը suricata-ի համար հետևյալով.

sudo add-apt-repository ppa:oisf/suricata-stable

Այժմ թարմացրեք ձեր Ubuntu փաթեթի ինդեքսի պահոցը և տեղադրեք suricata ստորև «apt» հրամանով:

sudo apt update
sudo apt install suricata

Տեղադրումը շարունակելու համար մուտքագրեք «Y»:

Տեղադրումն ավարտվելուց հետո ստուգեք suricata երկուական ֆայլը և դրա տարբերակը ստորև նշված հրամանով:

which suricata
suricata --build-info

Ստորև կարող եք տեսնել, որ suricata 7.0.6 տեղադրված է APT փաթեթի կառավարչի միջոցով:

Վերջապես գործարկեք ստորև նշված հրամանը՝ «suricata» ծառայությունը միացնելու և դադարեցնելու համար: Դուք պետք է դադարեցնեք suricata-ն նախքան այն կարգավորելը:

sudo systemctl enable suricata
sudo systemctl stop suricata

Suricata-ի կազմաձևում

Այս բաժնում դուք կկարգավորեք Suricata-ն ցանցի միջերեսը վերահսկելու համար: Suricata-ն կգրավի վնասակար երթևեկությունը թիրախային ինտերֆեյսի վրա:

Բացեք suricata-ի կանխադրված կոնֆիգուրացիան «/etc/suricata/suricata.yaml»՝ օգտագործելով «nano» խմբագրիչը:

sudo nano /etc/suricata/suricata.yaml

Եթե դուք օգտագործում եք տեղական ցանց, ավելացրեք ձեր տնային ցանցի ենթացանցը «HOME_NET» և «EXTERNAL_NET» փոփոխականներին:

HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"

«af-packet» բաժնում փոխեք կանխադրված «ինտերֆեյսը» ձեր թիրախային միջերեսին: Այս օրինակում մենք կվերահսկենք «enp0s3» ինտերֆեյսը suricata-ով:

af-packet:
 - interface: enp0s3

Ավելացրեք «detect-engine» տարբերակը «rule-reload: true» տարբերակով, որպեսզի ակտիվացնեք կանոնների վերաբեռնումը:

detect-engine:
 - rule-reload: true

Ավարտելուց հետո պահեք ֆայլը և դուրս եկեք խմբագրիչից:

Սուրիկատայի կանոնների հավաքածուների թարմացում

Նախքան Suricata-ն սկսելը և գործարկելը, դուք պետք է ներբեռնեք և թարմացնեք suricata-ի ստորագրությունները և կանոնները: Դա կարելի է անել «suricata-update» հրամանի կոմունալ ծրագրի միջոցով:

Գործարկեք «suricata-update» հրամանը՝ ներբեռնելու և թարմացնելու suricata ET կանոնները: Սուրիկատան չի սկսվի, երբ ET կանոնները բացակայեն:

sudo suricata-update

Սուրիկատայի կանոնները գրված են «/var/lib/suricata/suricata.rules» ֆայլում հետևյալ կերպ.

Դուք կարող եք ստուգել կանոնների աղբյուրները հետևյալ հրամանով.

sudo suricata-update list-sources

Վազում suricata

Այժմ, երբ դուք կազմաձևել եք Suricata-ն և ներբեռնել և թարմացրել եք ET կանոնները, դուք կփորձարկեք suricata-ի կանոնները, այնուհետև կսկսեք և ստուգեք «suricata» ծառայությունը:

Suricata կանոնները ստուգելու համար գործարկեք «suricata» հրամանը ստորև: Սա կմշակի «/var/wlib/suricata/suricata.rules» ֆայլի հասանելի կանոնները:

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Եթե սխալ չկա, դուք կստանաք «suricata. Տրամադրված կոնֆիգուրացիան հաջողությամբ բեռնված է:»:

Այժմ գործարկեք ստորև նշված հրամանը՝ «suricata» ծառայությունը հետին պլանում սկսելու և այն ստուգելու համար:

sudo systemctl start suricata
sudo systemctl status suricata

Հետևյալ ելքում դուք կարող եք տեսնել, որ «suricata» ծառայությունն աշխատում է:

Եզրակացություն

Շնորհավորում եմ: Դուք ավարտել եք Suricata IDS-ի տեղադրումը Ubuntu 24.04 սերվերի վրա: Դուք սովորել եք Suricata-ի տեղադրման երկու եղանակ՝ ձեռքով կազմելով աղբյուրից և APT փաթեթի կառավարչի միջոցով: Դուք նաև սովորել եք, թե ինչպես կարգավորել Suricata-ն, թարմացնել suricata-ի ստորագրություններն ու կանոնները և փորձարկել suricata-ի կանոնները: