Ինչպես տեղադրել Suricata IDS-ը Ubuntu 24.04 սերվերի վրա
Այս ձեռնարկը գոյություն ունի ՕՀ-ի այս տարբերակների համար
- Ubuntu 24.04 (Noble Numbat)
- Ubuntu 22.04 (Jammy Jellyfish)
- Ubuntu 20.04 (Կիզակետային Fossa)
- Ubuntu 18.04 (Bionic Beaver)
Այս էջում
- Նախադրյալներ
- Տեղադրում սկզբնական կոդից
- Տեղադրում PPA պահեստի միջոցով
- Suricata-ի կազմաձևում
- Սուրիկատայի կանոնների հավաքածուների թարմացում
- Վազում suricata
- Եզրակացություն
Suricata-ն բաց կոդով IDS (Intrusion Detection System) և IPS (Intrusion Prevention System) է, որը մշակվել է OSIF-ի (open infosec հիմնադրամ) կողմից: Այն կարող է վերահսկել և ուսումնասիրել ցանցի տրաֆիկը և մշակել յուրաքանչյուր փաթեթ՝ ցանցի վնասակար գործունեությունը հայտնաբերելու համար: Դուք կարող եք կարգավորել գրանցամատյանների իրադարձությունները, ազդանշաններ գործարկել և նույնիսկ թողնել երթևեկությունը ցանցի կասկածելի գործունեության համար:
Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես տեղադրել Suricata IDS-ը Ubuntu 24.04 սերվերի վրա: Դուք կտեղադրեք և կարգավորեք Suricata-ն, ներբեռնեք ET ստորագրություններն ու կանոնները, այնուհետև կսկսեք Suricata-ն հետին պլանում՝ որպես համակարգված ծառայություն:
Նախադրյալներ
Այս ուղեցույցով սկսելու համար համոզվեք, որ ունեք հետևյալը.
- Ubuntu 24.04 սերվեր:
- Ոչ արմատական օգտվող, ադմինիստրատորի արտոնություններով:
Տեղադրում սկզբնական կոդից
Այս բաժնում դուք կսովորեք, թե ինչպես տեղադրել Suricata-ն սկզբնական կոդից՝ այն ձեռքով կազմելով ձեր համակարգում: Իսկ մինչ այդ դուք կտեղադրեք փաթեթային կախվածություններ Suricata-ի կազմման համար։
Նախ, գործարկեք ստորև նշված հրամանը՝ ձեր Ubuntu փաթեթի ինդեքսը թարմացնելու և կառուցապատման կախվածությունները տեղադրելու համար: Տեղադրումը հաստատելու համար մուտքագրեք «Y»:
sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev
Այժմ գնացեք «/usr/src» գրացուցակը և գործարկեք հետևյալ հրամանը՝ Suricata-ի սկզբնական կոդը ներբեռնելու և այն հանելու համար:
cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz
Գնացեք «suricata-7.0.6» գրացուցակ և կազմաձևեք Suricata հավաքածուն հետևյալով: Դրանով դուք կտեղադրեք և կտեղադրեք suricata երկուական ֆայլը «/usr/bin» գրացուցակում, suricata-ի կոնֆիգուրացիան՝ «/etc/suricata», և տվյալների գրացուցակը դեպի «/var/lib/suricata»:
cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Գործընթացն ավարտվելուց հետո պատճենեք և տեղադրեք suricata ստորև նշված հրամանով:
sudo make && sudo make install-full
Տեղադրումն ավարտվելուց հետո կտեսնեք հետևյալը.
Վերջապես գործարկեք ստորև նշված հրամանը՝ «suricata» երկուական ֆայլը գտնելու և դրա տարբերակը ստուգելու համար:
which suricata
suricata --build-info
Հետևյալ ելքում դուք կարող եք տեսնել, որ suricata «7.0.6»-ը տեղադրված է «/usr/bin/suricata» հասցեում:
Տեղադրում PPA պահեստի միջոցով
Եթե նախընտրում եք տեղադրել Suricata-ն APT-ի միջոցով, դուք պետք է ավելացնեք suricata PPA պահոցը ձեր Ubuntu համակարգին: Նաև համոզվեք, որ «ծրագրային ապահովման հատկությունները» փաթեթը տեղադրված է:
Ավելացնել PPA պահեստը suricata-ի համար հետևյալով.
sudo add-apt-repository ppa:oisf/suricata-stable
Այժմ թարմացրեք ձեր Ubuntu փաթեթի ինդեքսի պահոցը և տեղադրեք suricata ստորև «apt» հրամանով:
sudo apt update
sudo apt install suricata
Տեղադրումը շարունակելու համար մուտքագրեք «Y»:
Տեղադրումն ավարտվելուց հետո ստուգեք suricata երկուական ֆայլը և դրա տարբերակը ստորև նշված հրամանով:
which suricata
suricata --build-info
Ստորև կարող եք տեսնել, որ suricata 7.0.6 տեղադրված է APT փաթեթի կառավարչի միջոցով:
Վերջապես գործարկեք ստորև նշված հրամանը՝ «suricata» ծառայությունը միացնելու և դադարեցնելու համար: Դուք պետք է դադարեցնեք suricata-ն նախքան այն կարգավորելը:
sudo systemctl enable suricata
sudo systemctl stop suricata
Suricata-ի կազմաձևում
Այս բաժնում դուք կկարգավորեք Suricata-ն ցանցի միջերեսը վերահսկելու համար: Suricata-ն կգրավի վնասակար երթևեկությունը թիրախային ինտերֆեյսի վրա:
Բացեք suricata-ի կանխադրված կոնֆիգուրացիան «/etc/suricata/suricata.yaml»՝ օգտագործելով «nano» խմբագրիչը:
sudo nano /etc/suricata/suricata.yaml
Եթե դուք օգտագործում եք տեղական ցանց, ավելացրեք ձեր տնային ցանցի ենթացանցը «HOME_NET» և «EXTERNAL_NET» փոփոխականներին:
HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"
«af-packet» բաժնում փոխեք կանխադրված «ինտերֆեյսը» ձեր թիրախային միջերեսին: Այս օրինակում մենք կվերահսկենք «enp0s3» ինտերֆեյսը suricata-ով:
af-packet:
- interface: enp0s3
Ավելացրեք «detect-engine» տարբերակը «rule-reload: true» տարբերակով, որպեսզի ակտիվացնեք կանոնների վերաբեռնումը:
detect-engine:
- rule-reload: true
Ավարտելուց հետո պահեք ֆայլը և դուրս եկեք խմբագրիչից:
Սուրիկատայի կանոնների հավաքածուների թարմացում
Նախքան Suricata-ն սկսելը և գործարկելը, դուք պետք է ներբեռնեք և թարմացնեք suricata-ի ստորագրությունները և կանոնները: Դա կարելի է անել «suricata-update» հրամանի կոմունալ ծրագրի միջոցով:
Գործարկեք «suricata-update» հրամանը՝ ներբեռնելու և թարմացնելու suricata ET կանոնները: Սուրիկատան չի սկսվի, երբ ET կանոնները բացակայեն:
sudo suricata-update
Սուրիկատայի կանոնները գրված են «/var/lib/suricata/suricata.rules» ֆայլում հետևյալ կերպ.
Դուք կարող եք ստուգել կանոնների աղբյուրները հետևյալ հրամանով.
sudo suricata-update list-sources
Վազում suricata
Այժմ, երբ դուք կազմաձևել եք Suricata-ն և ներբեռնել և թարմացրել եք ET կանոնները, դուք կփորձարկեք suricata-ի կանոնները, այնուհետև կսկսեք և ստուգեք «suricata» ծառայությունը:
Suricata կանոնները ստուգելու համար գործարկեք «suricata» հրամանը ստորև: Սա կմշակի «/var/wlib/suricata/suricata.rules» ֆայլի հասանելի կանոնները:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Եթե սխալ չկա, դուք կստանաք «suricata. Տրամադրված կոնֆիգուրացիան հաջողությամբ բեռնված է:»:
Այժմ գործարկեք ստորև նշված հրամանը՝ «suricata» ծառայությունը հետին պլանում սկսելու և այն ստուգելու համար:
sudo systemctl start suricata
sudo systemctl status suricata
Հետևյալ ելքում դուք կարող եք տեսնել, որ «suricata» ծառայությունն աշխատում է:
Եզրակացություն
Շնորհավորում եմ: Դուք ավարտել եք Suricata IDS-ի տեղադրումը Ubuntu 24.04 սերվերի վրա: Դուք սովորել եք Suricata-ի տեղադրման երկու եղանակ՝ ձեռքով կազմելով աղբյուրից և APT փաթեթի կառավարչի միջոցով: Դուք նաև սովորել եք, թե ինչպես կարգավորել Suricata-ն, թարմացնել suricata-ի ստորագրություններն ու կանոնները և փորձարկել suricata-ի կանոնները: