Dalam tutorial ini, kami akan menjelaskan langkah demi langkah cara menginstal dan menyesuaikan Suricata di Debian 11.
Suricata adalah alat Pemantauan Keamanan Jaringan yang memproses dan mengontrol lalu lintas jaringan. Ini juga digunakan untuk menghasilkan peringatan, log, dan mendeteksi paket atau permintaan yang mencurigakan pada layanan apa pun yang datang ke server Anda. Suricata dapat digunakan pada host server untuk memindai lalu lintas jaringan yang masuk dan keluar atau dapat digunakan secara lokal pada mesin apa pun yang kompatibel.
Dalam beberapa langkah berikutnya, Anda akan mempelajari lebih lanjut tentang Suricata serta instalasi dan penyesuaiannya. Instalasi adalah proses yang mudah dan dapat dilakukan dalam beberapa menit. Mari kita mulai!
Prasyarat
- Pemasangan baru Debian 11
- Hak istimewa pengguna:pengguna root atau non-root dengan hak istimewa sudo
- VPS dengan RAM minimal 4GB (Paket VPS SSD 4 kami)
Perbarui Sistem
Agar sistem kami up to date sebelum instalasi, kami akan memperbaruinya dengan perintah di bawah ini:
sudo apt update -y && sudo apt upgrade -y
Instal Suricata
Setelah sistem diperbarui ke versi terbaru, langkah selanjutnya adalah menginstal Suricata melalui paket. Paket Suricata sudah termasuk dalam Debian 11, jadi kita tidak perlu mengimpor paket apapun untuk menjalankan perintah berikut:
sudo apt install suricata -y
Setelah instalasi selesai, mulai layanan dengan perintah berikut:
sudo systemctl start suricata
Untuk mengaktifkan layanan secara otomatis, mulai pada sistem reboot jalankan perintah:
sudo systemctl enable suricata
Untuk memeriksa status layanan, dan memverifikasi bahwa semuanya baik-baik saja, jalankan perintah di bawah ini:
sudo systemctl status suricata
Anda akan menerima output seperti yang dijelaskan di bawah ini:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
Secara default, penginstalan Suricata dikonfigurasi hanya untuk mencatat lalu lintas dan tidak mencegah penurunan apa pun. Mode ini disebut mode Suricata IDS, dan jika Anda ingin mengubahnya sesuai dengan jenis lalu lintas Anda, Anda perlu menggunakan mode Suricata IPS. Perubahan untuk menyesuaikan Suricata dapat dilakukan dengan membuka “/etc/suricata/suricata.yaml ” dengan editor favorit Anda.
Dalam beberapa judul berikutnya, kami akan menjelaskan perubahan apa yang harus dilakukan setelah instalasi Suricata dan konfigurasi defaultnya. Dengan kata lain, kami akan menyesuaikan instalasi Suricata default.
Mengaktifkan ID Alur Komunitas
ID alur komunitas digunakan saat Anda berencana menggunakan Suricata dengan alat seperti Zeek atau Elasticsearch.
Untuk mengaktifkan ID aliran komunitas, buka file “suricata.yaml”, cari baris dengan “id komunitas”, dan setel ke true.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Memuat Ulang Aturan Langsung
Dengan memuat ulang aturan langsung Suricata, Anda dapat menambahkan, mengedit, dan menghapus aturan tanpa memulai ulang “suricata.service “. Untuk mengaktifkan opsi ini, buka “suricata.yaml file dan di bagian bawah tambahkan baris berikut:
detect-engine: - rule-reload: true
Antarmuka Jaringan
Antarmuka jaringan default yang digunakan Suricata dan memeriksa lalu lintas adalah “eth0 “. Jika Anda ingin menimpa ini untuk Suricata untuk memeriksa lalu lintas pada antarmuka jaringan yang berbeda, buka “suricata.yaml file, dan temukan "- antarmuka:default". Setelah Anda menemukannya, sebelum baris itu tambahkan baris berikut seperti yang dijelaskan di bawah ini:
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
Dalam contoh ini kami menambahkan, "enp0s1 ” sebagai antarmuka jaringan, dan nomor cluster-id 98. Harap dicatat nomor cluster-id harus unik dalam file ini.
Peraturan Suricata
Kumpulan aturan deteksi terbatas yang disertakan oleh Suricata terletak di /etc/suricata/rules direktori. Untuk mengambil kumpulan aturan dari penyedia eksternal, Anda perlu menjalankan perintah dengan alat pembaruan yang disertakan Suricata:
sudo suricata-update -o /etc/suricata/rules
Anda akan menerima output berikut:
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Uji konfigurasi
Pada akhirnya ketika semuanya sudah diatur seperti antarmuka jaringan, ID aliran komunitas, dan aturan, kita dapat memeriksa konfigurasi Suricata jika semuanya baik-baik saja, dengan menjalankan perintah di bawah ini:
suricata -T /etc/suricata/suricata.yaml
Anda akan menerima output seperti yang dijelaskan di bawah ini:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
Itu dia. Anda berhasil menginstal dan mengkonfigurasi Alat Keamanan Jaringan Suricata di Debian 11. Jika Anda merasa kesulitan untuk menggunakannya, Anda dapat menghubungi admin kami dan mereka akan mengonfigurasinya untuk Anda. Kami tersedia 24/7.
Jika Anda menyukai posting ini tentang cara menginstal Suricata di Debian 11, silakan bagikan dengan teman-teman Anda di jejaring sosial menggunakan tombol di sebelah kiri atau cukup tinggalkan balasan di bawah. Terima kasih.