Hari ini, kita akan belajar cara menginstal dan mengatur Suricata di Ubuntu 18.04. Suricata adalah alat pendeteksi ancaman jaringan sumber terbuka. Suricata menggunakan aturan dan tanda tangan untuk mendeteksi ancaman dalam lalu lintas jaringan. Ini juga mendukung bahasa skrip Lua yang membantunya menemukan ancaman paling kompleks dalam jaringan. Suricata adalah produk dari Open Information Security Foundation. Ia mampu menyediakan pemrosesan NIDS, IPS, NSM dan offline pcap. Itu dapat diintegrasikan dengan alat lain seperti BASE, Snorby, Sguil, SQueRT, ELK, solusi SIEM dll.
Untuk melihat daftar lengkap fitur yang didukung oleh Suricata, Anda dapat memeriksa semua fitur.
Instal dan Atur Suricata di Ubuntu 18.04
Ada dua cara di mana Anda dapat menginstal dan mengatur Suricata di Ubuntu 18.04;
- Menginstal dari sumbernya
- Menginstal dari Repositori PPA
Dalam panduan ini, kita akan membahas kedua metode menginstal Suricata di Ubuntu 18.04.
Menginstal Suricata dari Sumber Di Ubuntu 18.04
Instalasi Suricata dari Sumber di Ubuntu 18.04 adalah cara paling pasti untuk mendapatkan Suricata versi terbaru dan stabil dan berjalan di Ubuntu 1804. Namun itu membutuhkan sedikit usaha ekstra. Oleh karena itu, sebelum Anda dapat menginstal Suricata dari sumbernya, pastikan Anda telah menginstal semua dependensi yang diperlukan.
sudo apt -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config
Instal alat pembaruan aturan Suricata
apt install python-pip pip install --upgrade suricata-update ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update
Suricata berfungsi sebagai IDS di luar kotak. Jika Anda perlu menyertakan fungsionalitas IPS, instal pustaka berikut.
sudo apt -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
Selanjutnya download tarball Suricata terbaru dan stabil. Anda cukup mendownload seperti gambar di bawah ini;
wget https://www.openinfosecfoundation.org/download/suricata-4.1.2.tar.gz
Setelah downloadan selesai, ekstrak tarball.
tar xzf suricata-4.1.2.tar.gz
Arahkan ke direktori ekstrak tarball Suricata untuk mengonfigurasi engine Suricata untuk kompilasi. Ini memastikan bahwa Suricata dibangun dengan kemampuan IPS.
cd suricata-4.1.2./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Kompilasi dan instal engine Suricata
make make install-full
make install-fullperintah hanya akan menginstal kedua Suricata file konfigurasi awal dan aturan Suricata menggunakan alat manajemen aturan Suricata baru, suricata-update. Jika instalasi berhasil, Anda akan melihat output di bawah ini;
... install -d "/etc/suricata/" install -d "/var/log/suricata/files" install -d "/var/log/suricata/certs" install -d "/var/run/" install -m 770 -d "/var/run/suricata" install -d "/etc/suricata/rules" /usr/bin/wget -qO - https://rules.emergingthreats.net/open/suricata-3.0/emerging.rules.tar.gz | tar -x -z -C "/etc/suricata/" -f - You can now start suricata by running as root something like '/usr/bin/suricata -c /etc/suricata//suricata.yaml -i eth0'. If a library like libhtp.so is not found, you can run suricata with: 'LD_LIBRARY_PATH=/usr/lib /usr/bin/suricata -c /etc/suricata//suricata.yaml -i eth0'. While rules are installed now, it's highly recommended to use a rule manager for maintaining rules. two most common are Oinkmaster and Pulledpork. For a guide see: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster
File konfigurasi diatur di bawah /etc/suricata/suricata.yamlsaat aturan ditulis ke /etc/suricata/rules/.
Menginstal Suricata dari repositori PPA
Meskipun Suricata tersedia di repositori default Ubuntu 18.04, itu mungkin tidak mutakhir. Akibatnya, untuk memastikan bahwa Anda telah menginstal versi terbaru, Anda perlu menambahkan repositori PPA berikut.
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update
Setelah repo PPA diatur, instal Suricata dengan manajer paket.
apt-cache policy suricata suricata: Installed: 4.1.2-0ubuntu6 Candidate: 4.1.2-0ubuntu6 Version table: *** 4.1.2-0ubuntu6 500 500 http://ppa.launchpad.net/oisf/suricata-stable/ubuntu bionic/main amd64 Packages 100 /var/lib/dpkg/status 3.2-2ubuntu3 500 500 http://ke.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
sudo apt install suricata
Anda malah dapat menginstal Suricata dengan debugging diaktifkan.
sudo apt install suricata-dbg
Itu semua dengan instalasi. Di akhir instalasi, Anda akan memiliki aturan Suricata di bawah /etc/suricata/rules/ dan file konfigurasi utama di bawah /etc/suricata/suricata.yaml.
Untuk membuat daftar aturan Suricata;
ls -C /etc/suricata/rules/ app-layer-events.rules emerging-attack_response.rules emerging-malware.rules emerging-telnet.rules LICENSE botcc.portgrouped.rules emerging-chat.rules emerging-misc.rules emerging-tftp.rules modbus-events.rules botcc.rules emerging-current_events.rules emerging-mobile_malware.rules emerging-trojan.rules nfs-events.rules BSD-License.txt emerging-deleted.rules emerging-netbios.rules emerging-user_agents.rules ntp-events.rules ciarmy.rules emerging-dns.rules emerging-p2p.rules emerging-voip.rules sid-msg.map classification.config emerging-dos.rules emerging-policy.rules emerging-web_client.rules smb-events.rules compromised-ips.txt emerging-exploit.rules emerging-pop3.rules emerging-web_server.rules smtp-events.rules compromised.rules emerging-ftp.rules emerging-rpc.rules emerging-web_specific_apps.rules stream-events.rules decoder-events.rules emerging-games.rules emerging-scada.rules emerging-worm.rules suricata-4.0-enhanced-open.txt dnp3-events.rules emerging-icmp_info.rules emerging-scan.rules files.rules tls-events.rules dns-events.rules emerging-icmp.rules emerging-shellcode.rules gpl-2.0.txt tor.rules drop.rules emerging-imap.rules emerging-smtp.rules http-events.rules dshield.rules emerging-inappropriate.rules emerging-snmp.rules ipsec-events.rules emerging-activex.rules emerging-info.rules emerging-sql.rules kerberos-events.rules
Konfigurasikan Suricata di Ubuntu 18.04
File konfigurasi utama untuk Suricata adalah /etc/suricata/suricata.yaml. File itu sendiri dikomentari dengan cukup baik untuk memberikan pemahaman yang jelas tentang untuk apa setiap pengaturan.
Untuk memulainya, Anda perlu mengkonfigurasi Suricata untuk membedakan antara jaringan internal yang akan dilindungi dan jaringan eksternal. Ini dapat dilakukan dengan mendefinisikan nilai yang benar untuk masing-masing variabel HOME_NETdan di EXTERNAL_NETbawah grup alamat.
vim /etc/suricata/suricata.yaml
HOME_NET: "[192.168.43.220]"... EXTERNAL_NET: "!$HOME_NET"...
Dalam kasus saya, saya menggunakan alamat IP, 192.168.43.220, sebagai jaringan rumah saya. Jaringan eksternal disetel ke semua yang tidak cocok dengan jaringan rumah.
Untuk tujuan pembelajaran, kami akan mendemonstrasikan cara waspada terhadap kemungkinan banjir SYN. Akibatnya kita akan membuat aturan pengujian kita sendiri seperti yang ditunjukkan di bawah ini;
vim /etc/suricata/rules/test-ddos.rules
alert tcp any any -> $HOME_NET 80 (msg: "Possible DDoS attack"; flags: S; flow: stateless; threshold: type both, track by_dst, count 200, seconds 1; sid:1000001; rev:1;)
Aturan pada dasarnya aktif ketika ada 100 percobaan koneksi ke jaringan lokal dalam 10 detik.
Selanjutnya
, Anda perlu mengonfigurasi Suricata untuk menyertakan aturan ini. Oleh karena itu, edit file konfigurasi Suricata dan tambahkan file aturan di bawah rule-files:bagian.
vim /etc/suricata/suricata.yaml
rule-files: - botcc.rules - ciarmy.rules... # - Custom Test rules - test-ddos.rules
Anda sekarang siap untuk melakukan tes Namun, sebelum Anda dapat melanjutkan, Anda perlu menonaktifkan fitur offload paket pada interface jaringan tempat Suricata mendengarkan.
ethtool -K enp0s3 gro off lro off
Jika Anda mendapatkan Cannot change large-receive-offload, itu berarti interface Anda tidak mendukung fitur ini dan aman untuk mengabaikannya. Namun, Anda dapat memverifikasi ini dengan menjalankan perintah di bawah ini;
ethtool -k enp0s3 | grep large large-receive-offload: off [fixed]
Selanjutnya, jalankan Suricata dalam mode live PCAP dengan menjalankan perintah di bawah ini.
suricata -D -c /etc/suricata/suricata.yaml -i enp0s3
Omong-omong, ada berbagai mode yang bisa dijalankan Suricata. Anda dapat mencantumkannya dengan menjalankan perintah di bawah ini;
suricata --list-runmodes
Lakukan uji serangan DDoS sederhana terhadap host Suricata kami dari host yang berbeda.
hping3 -S -p 80 --flood --rand-source 192.168.43.220
Saat Suricata berjalan di host Suricata dan saat uji serangan DDoS terhadap host Suricata berjalan p, ikuti log peringatan Suricata di host Suricata untuk melihat apa yang terjadi;
tail -f /var/log/suricata/fast.log
02/05/2019-21:05:20.572970 [**] [1:1000001:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.43.149:49876 -> 192.168.43.220:80 02/05/2019-21:05:21.084437 [**] [1:1000001:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.43.149:51622 -> 192.168.43.220:80 02/05/2019-21:05:22.106880 [**] [1:1000001:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.43.149:54296 -> 192.168.43.220:8
Jika aturan Anda diatur dengan benar, Anda seharusnya bisa mendapatkan output di atas.
Itu saja tentang cara Menginstal dan Mengatur Suricata di Ubuntu 18.04. Jangan ragu untuk membaca lebih lanjut tentang Suricata di halaman dokumentasi mereka.