Suricata. es un sistema moderno de detección de intrusiones en la red. prevención. y monitorización de seguridad. de código abierto y alto rendimiento para Sistemas basados en Unix. Linux. FreeBSD. y Windows. Fue desarrollado y propiedad de una fundación sin fines de lucro la OISF. ( Open Information Security Foundation. .
Recientemente, la OISF. El equipo del proyecto anunció el lanzamiento de Suricata 1.4.4. con actualizaciones menores pero cruciales y corrigió algunos errores esenciales con respecto a la versión anterior.
Table of Contents
Funciones de Suricata
IDS/IPS
Suricata. es un motor de detección de intrusiones. y prevención. basado en reglas que hace uso de conjuntos de reglas desarrollados externamente para monitorear la red tráfico. además de poder gestionar tráfico de varios gigabytes. y envía alertas por correo electrónico a los administradores del sistema. red.
Multi-threading
Suricata. proporciona velocidad e importancia en la determinación del tráfico de la red. El motor está desarrollado para aplicar la mayor potencia de procesamiento que ofrecen los conjuntos de chips de hardware de múltiples núcleos modernos.
Detección automática de protocolos
El motor no solo proporciona palabras clave para TCP. UDP. ICMP. e IP. pero también tiene soporte integrado para HTTP. FTP. TLS. y SMB. Un administrador del sistema puede crear su propia regla para detectar una coincidencia dentro de una secuencia HTTP. Esto se convertirá en una detección de malware. y un control. diferentes.
Fast IP Matching freestar.config.enabled_slots.push (locationName: “tecmint_incontent”, slotId: ” tecmint_incontent “);
El motor ciertamente tomará reglas que son coincidencias de IP. basadas en RBN. y listas de IP. comprometidas en Amenazas emergentes. y manténgalas en un preprocesador de coincidencia rápido específico.
Lea también. Instale LMD-Detección de malware de Linux en Linux
Paso : 1 Instalando Suricata en RHEL, CentOS y Fedora
Debe usar el repositorio EPEL de Fedora. para instalar algunos paquetes necesarios para i386. y x86_64. sistemas.
- Habilite el repositorio EPEL de Fedora
Antes de que pueda compilar y construir Suricata. para su sistema, instale los siguientes paquetes de dependencia que son necesarios para una instalación posterior. El proceso puede tardar un poco en completarse, dependiendo de la velocidad de Internet.
# yum-y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c ++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel file file-devel Soporte IPS
A continuación, compile Suricata. con soporte IPS. Para esto, necesitamos los paquetes “ libnfnetlink. y “ libnetfilter_queue. , pero estos paquetes precompilados no están disponibles en EPEL. o Repositorios base de CentOS. Por lo tanto, debemos descargar e instalar rpms. del repositorio de Emerging Threats CentOS.
Para 32 bits # rpm-Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnetfilter_queue-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/proyectos/emergentesrepo/i386/libnetfilter_queue-devel-0.0.15-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-0.0.30-1.i386.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/i386/libnfnetlink-devel-0.0.30-1.i386.rpm Para 64 bits # rpm-Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \ http://rules.emergingthreatspro .com/projects/emergentesrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \ http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm Descargar Suricata
Descargue los archivos fuente de Suricata. más recientes y compílelos usando el siguiente comando ds.
# cd/tmp # wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar.gz # tar-xvzf suricata-1.4.4.tar.gz # cd suricata-1.4.4
Ahora usamos la función Configuración automática de Suricata. para crear automáticamente todos los directorios. archivos de configuración. necesarios y los últimos conjuntos de reglas.
# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full
Paso 2: Instalar Suricata en Debian y Ubuntu
Antes de comenzar la instalación, debe tener los siguientes paquetes de requisitos previos instalados en el sistema para continuar. Asegúrate de ser un usuario root. para ejecutar el siguiente comando. Este proceso de instalación puede llevar algún tiempo, dependiendo de la velocidad actual de su Internet.
# apt-get-y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \ pkg-config archivo mágico libhtp-dev Compatibilidad con IPS
De forma predeterminada, funciona como un IDS. Si desea agregar compatibilidad con IDS. instale algunos paquetes necesarios de la siguiente manera.
# apt-get-y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 Descargar Suricata
Descargue el último tar-ball de Suricata. y constrúyalo usando los siguientes comandos.
# cd/tmp
# wget http://www.openinfosecfoundation.org/download/suricata-1.4.4.tar .gz # tar-xvzf suricata-1.4.4.tar.gz
# cd suricata-1.4.4
Utilice la opción Configuración automática de Suricata. para crear todos los directorios. necesarios, archivos de configuración. y conjuntos de reglas. automáticamente como se muestra a continuación.
# ./configure && make && make install-conf
# ./configure && make && make install-rules
# ./configure && make && make install-full
Paso 3: Configuración básica de Suricata
Después de descargar e instalar Suricata. ahora es el momento de continuar con la Configuración básica. Cree las siguientes direcciones.
# mkdir/var/log/suricata
# mkdir/etc/suricata
La siguiente parte es copiar archivos de configuración como “ clasificación.config. , “ reference.config. ”y“ suricata.yaml. ”del directorio de instalación de la compilación base.
# cd/tmp/suricata-1.4.4
# cp class.config/etc/suricata
# cp reference.config/etc/suricata
# cp suricata.yaml/etc/suricata
Finalmente, inicie “ Suricata Engine. por primera vez y especifique el nombre del dispositivo de interfaz de su preferencia . En lugar de eth0. puede incluir la tarjeta de red de su preferencia.
# suricata-c/etc/suricata/suricata.yaml-i eth0 23/7/2013-12:22:45–Esta es la versión 1.4.4 de Suricata PUBLICACIÓN 23/7/2013-12: 22:45–CPU/núcleos en línea: 2 23/7/2013-12:22:45–Encontrado un MTU de 1500 para ‘eth0’ 23/7/2013-12:22:45–asignado 2097152 bytes de memoria para el hash de desfragmentación … 65536 cubos de tamaño 32 23/7/2013-12:22:45–rastreadores de desfragmentación 65535 preasignados de tamaño 104 23/7/2013-12:22:45–uso de memoria de desfragmentación: 8912792 bytes, máximo: 33554432 23/7/2013-12:22:45–Modo AutoFP usando el balanceador de carga de flujo de “Paquetes activos” predeterminado 23/7/2013-12:22:45–preasignado 1024 paquetes. Memoria total 3170304 23/7/2013-12:22:45–131072 bytes de memoria asignados para el hash del host … 4096 cubos de tamaño 32 23/7/2013-12:22:45–1000 preasignados hosts de tamaño 76 23/7/2013-12:22:45–uso de memoria del host: 207072 bytes, máximo: 16777216 23/7/2013-12:22:45–asignados 2097152 bytes de memoria para el flujo hash … 65536 cubos de tamaño 32 23/7/2013-12:22:45–10000 flujos preasignados de tamaño 176 23/7/2013-12:22:45–uso de memoria de flujo: 3857152 bytes, máximo: 33554432 23/7/2013-12:22:45–Reputación de IP deshabilitada 23/7/2013-12:22:45–usando magic-file/usr/share/file/magic
Después varios minutos después, verifique que el motor esté funcionando correctamente y que reciba e inspeccione el tráfico.
# cd/usr/local/var/log/suricata/# ls-l-rw-r-r–1 root root 25331 23 de julio 12:27 fast.log drwxr-xr-x 2 root root 4096 23 de julio 11:34 archivos-rw-r-r–1 root root 12345 23 de julio 11:37 http.log-rw-r–r–1 root root 650978 23 de julio 12:27 stats. log-rw-r-r–1 raíz raíz 22853 23 de julio 11:53 unified2.alert.1374557837-rw-r-r–1 raíz raíz 2691 23 de julio 12:09 unified2.alert.1374559711-rw-r-r–1 root root 2143 23 de julio 12:13 unified2.alert.1374559939-rw-r-r–1 root root 6262 23 de julio 12:27 unified2.alert.1374560613
Ver “ stats.log. ”y asegúrese de que la información mostrada esté actualizada. en tiempo real.
# tail-f stats.log tcp .reassembly_memuse | Detectar | 0 tcp.reassembly_gap | Detectar | 0 detect.alert | Detectar | 27 flow_mgr.closed_pruned | FlowManagerThread | 3 flow_mgr.new_pruned | FlowManagerThread | 277 flow_mgr.est_pruned | FlowManagerThread | 0 flow.memuse | FlowManagerThread | 3870000 flow.spare | FlowManagerThread | 10000 flow.emerg_mode_entered | FlowManagerThread | 0 flow.emerg_mode_over | FlowManagerThread | 0
Enlaces de referencia
Página de inicio de Suricata Guía del usuario de Suricata
