Suricata adalah mesin pendeteksi ancaman jaringan gratis, sumber terbuka, dan tangguh yang dikembangkan oleh Open Security Foundation. Ia mampu mendeteksi penyusupan secara real-time, pencegahan penyusupan, dan pemantauan keamanan jaringan. Suricata hadir dengan seperangkat aturan yang kuat yang memeriksa lalu lintas jaringan dan mendeteksi ancaman yang kompleks. Mendukung semua sistem operasi utama termasuk Linux, Windows, FreeBSD, dan macOS, dan juga mendukung IPv4, IPv6, SCTP, ICMPv4, ICMPv6, dan GRE.
Dalam tutorial ini, kami akan menunjukkan cara menginstal dan mengkonfigurasi Suricata IDS di Ubuntu 20.04.
Prasyarat
- VPS Ubuntu 20.04 baru di Platform Cloud Atlantic.net
- Kata sandi root dikonfigurasi di server Anda
Langkah 1 – Buat Server Cloud Atlantic.Net
Pertama, masuk ke Server Cloud Atlantic.Net Anda. Buat server baru, pilih Ubuntu 20.04 sebagai sistem operasi, dengan setidaknya 2GB RAM. Hubungkan ke Server Cloud Anda melalui SSH dan masuk menggunakan kredensial yang disorot di bagian atas halaman.
Setelah Anda masuk ke server Ubuntu 20.04 Anda, jalankan perintah berikut untuk memperbarui sistem dasar Anda dengan paket terbaru yang tersedia.
apt-get update -y
Langkah 2 – Instal Dependensi yang Diperlukan
Pertama, Anda perlu menginstal beberapa dependensi yang diperlukan untuk mengkompilasi Suricata dari sumbernya. Anda dapat menginstal semuanya dengan perintah berikut:
apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config -y
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 -y
Setelah semua paket diinstal, Anda perlu menginstal alat pembaruan suricata untuk memperbarui aturan Suricata. Anda dapat menginstalnya dengan perintah berikut:
apt-get install python3-pip pip3 install --upgrade suricata-update ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Langkah 3 – Instal Suricata
Pertama, unduh Suricata versi terbaru dari situs resminya dengan perintah berikut:
wget https://www.openinfosecfoundation.org/download/suricata-5.0.3.tar.gz
Setelah unduhan selesai, ekstrak file yang diunduh dengan perintah berikut:
tar -xvzf suricata-5.0.3.tar.gz
Selanjutnya, ubah direktori ke direktori yang diekstrak dan konfigurasikan dengan perintah berikut:
cd suricata-5.0.3 ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Selanjutnya, instal Suricata dengan perintah berikut:
make make install-full
Catatan :Proses ini akan memakan waktu lebih dari 10 menit
Selanjutnya, instal semua aturan dengan perintah berikut:
make install-rules
Anda dapat melihatnya dengan perintah berikut:
cat /var/lib/suricata/rules/suricata.rules
Langkah 4 – Konfigurasi Suricata
File konfigurasi Suricata default terletak di /etc/suricata/suricata.yaml. Anda perlu mengonfigurasinya untuk melindungi jaringan internal Anda. Anda dapat melakukannya dengan mengedit file:
nano /etc/suricata/suricata.yaml
Ubah baris berikut:
HOME_NET: "[192.168.1.0/24]" EXTERNAL_NET: "!$HOME_NET"
Simpan dan tutup file setelah Anda selesai.
Catatan: Pada perintah di atas, ganti 192.168.1.0/24 dengan jaringan internal Anda.
Langkah 5 – Uji Suricata Terhadap DDoS
Sebelum memulai, Anda perlu menonaktifkan fitur pembongkaran paket pada antarmuka jaringan tempat Suricata mendengarkan.
Pertama, instal paket ethtool dengan perintah berikut:
apt-get install ethtool -y
Selanjutnya, nonaktifkan paket offload dengan perintah berikut:
ethtool -K eth0 gro off lro off
Selanjutnya, jalankan Suricata dalam mode NFQ dengan perintah berikut:
suricata -c /etc/suricata/suricata.yaml -q 0 &
Selanjutnya, masuk ke sistem jarak jauh dan lakukan uji serangan DDoS sederhana terhadap server Suricata menggunakan alat hping3 seperti yang ditunjukkan di bawah ini:
hping3 -S -p 80 --flood --rand-source your-server-ip
Di server Suricata, periksa log Suricata dengan perintah berikut:
tail -f /var/log/suricata/fast.log
Anda akan melihat output berikut:
09/17/2020-07:29:52.934009 [**] [1:2402000:5670] ET DROP Dshield Block Listed Source group 1 [**] [Classification: Misc Attack] [Priority: 2] {TCP} 167.248.133.70:18656 -> your-server-ip:9407 Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengkonfigurasi Suricata IDS dan IPS di server Ubuntu 20.04. Anda sekarang dapat menjelajahi Suricata dan membuat aturan Anda sendiri untuk melindungi server Anda dari serangan DDoS. Mulai Suricata di VPS Hosting dari Atlantic.Net, dan untuk informasi lebih lanjut, kunjungi halaman dokumentasi Suricata.