Popularitas Suricata adalah hasil dari menjadi mesin pendeteksi ancaman sumber terbuka dan independen, yang merupakan penyelamat bagi administrator Jaringan yang mencari cara yang mulus dan berkinerja baik untuk memeriksa dan mengelola masalah lalu lintas jaringan. Beberapa atribut fungsional Suricata termasuk memicu peringatan, menghasilkan peristiwa log, dan mengelola lalu lintas masuk yang disusupi.
Suricata mampu menetralkan serangan jaringan paling canggih melalui kombinasi empat fitur jaringan penting:
- Pemrosesan PCAP
- Pemantauan Keamanan Jaringan (NSM)
- Deteksi Intrusi (IDS)
- Pencegahan Intrusi (IPS)
Sejak Suricata menggunakan tanda tangan yang ditentukan pengguna dan dibuat oleh komunitas, penerapannya pada host gateway jaringan tidak serumit kelihatannya. Setelah digunakan, lalu lintas jaringan masuk dan keluar sistem lain dapat dengan mudah dipindai. Jika Anda lebih suka memiliki Suricata dijalankan di mesin lokal/individu, Anda juga dapat menggunakannya untuk memindai dan mengelola lalu lintas jaringan masuk dan keluar.
Panduan artikel ini akan membawa kita melalui instalasi dan konfigurasi dasar Suricata pada RHEL , CentOS , Linux Rocky , dan AlmaLinux sistem. Dari sana, Anda harus dapat memiliki ide tentang cara menggunakannya.
Spesifikasi mesin yang direkomendasikan untuk panduan artikel ini adalah 4/8 GB RAM dan setidaknya 2 CPU jika Anda ingin menggunakan Suricata di lingkungan produksi. Itu karena Suricata membutuhkan lebih banyak sumber daya untuk mengelola lalu lintas jaringan yang padat yang terkait dengan lingkungan produksi. Pada mesin lokal, 2 CPU dan RAM 4 GB sudah cukup ideal.
Instal Suricata di RHEL 8
Pertama, perbarui sistem Anda, lalu instal CodeReady penyimpanan.
$ sudo yum update $ sudo subscription-manager repos --enable codeready-builder-for-rhel-8-x86_64-rpms
Setelah CodeReady repositori diaktifkan, Anda perlu menginstal beberapa paket yang perlu dilakukan sebelum kami dapat mengunduh dan menginstal Suricata .
$ sudo yum install diffutils file-devel gcc jansson-devel make nss-devel libyaml-devel libcap-ng-devel libpcap-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel
Selanjutnya, Anda dapat menggunakan wget atau curl perintah untuk mengunduh nomor versi Suricata terbaru dari halaman berandanya.
$ wget https://www.openinfosecfoundation.org/download/suricata-6.0.4.tar.gz OR $ curl -OL https://www.openinfosecfoundation.org/download/suricata-6.0.4.tar.gz
Sekarang Anda telah mengunduh salinan Suricata dan karena sudah diarsipkan, pertama-tama kita harus mengekstraknya, menavigasi ke direktori utamanya, membangun, lalu menginstalnya.
$ tar xvf suricata-6.0.4.tar.gz $ cd suricata-6.0.4 $ sudo ./configure --sysconfdir=/etc --localstatedir=/var $ sudo make $ sudo make install $ sudo make install-conf
Karena makefile Suricata dilengkapi dengan opsi penginstalan untuk IDS set aturan, kita dapat menginstalnya dengan perintah berikut.
$ sudo make-install rules
Periksa info versi instalasi Suricata.
$ suricata --build-info
Konfigurasikan Suricata di RHEL 8
Buka file konfigurasi Suricata /etc/suricata/suricata.yaml .
$ sudo nano /etc/suricata/suricata.yaml
Di bawah vars :bagian, kami memiliki HOME_NET yang menunjuk ke alamat IP jaringan yang perlu diperiksa. Anda dapat mengedit bagian ini dengan nilai IP jaringan pilihan Anda.
Bagian file lain yang perlu diperhatikan adalah host-os-policy :
Anda dapat mengedit bagian ini dengan alamat IP berbasis OS masing-masing untuk meningkatkan mekanisme pertahanan Suricata dari serangan eksploitatif yang terkenal.
Menguji Deteksi Intrusi Suricata
Untuk menentukan jumlah mode run yang didukung oleh Suricata, jalankan perintah:
$ sudo /usr/local/bin/suricata --list-runmodes
Untuk melihat Suricata dalam tindakan, pertama, perhatikan antarmuka jaringan yang Anda minati:
$ ifconfig
Misalnya untuk menilai antarmuka jaringan virbr0 sesuai tangkapan layar di atas, jalankan perintah:
$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i virbr0 --init-errors-fatal
Untuk antarmuka enp0s3 , hasilnya adalah:
$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i enp0s3 --init-errors-fatal
Direktori /var/log/suricata menyimpan log deteksi Suricata.
$ tail -f /var/log/suricata/suricata.log
Menyesuaikan Suricata akan memperluas cakupan deteksi dan kinerjanya. Selengkapnya tentang penggunaan Suricata ada di halaman manualnya.
$ man suricata
Wiki Onlinenya juga memberikan perspektif yang lebih luas tentang penggunaannya.