このチュートリアルでは、Debian11にSuricataをインストールしてカスタマイズする方法を段階的に説明します。
Suricataは、ネットワークトラフィックを処理および制御するネットワークセキュリティ監視ツールです。また、アラートやログを生成したり、サーバーに着信するサービスで疑わしいパケットや要求を検出したりするためにも使用されます。 Suricataは、サーバーホストにデプロイして、着信および発信ネットワークトラフィックをスキャンすることも、互換性のある任意のマシンでローカルに使用することもできます。
次のいくつかのステップでは、Suricataとそのインストールおよびカスタマイズについて詳しく学習します。インストールは簡単なプロセスで、数分で完了できます。始めましょう!
- Debian11の新規インストール
- ユーザー権限:sudo権限を持つrootまたは非rootユーザー
- 4GB以上のRAMを搭載したVPS(SSD 4 VPSプラン)
インストール前にシステムを最新の状態に保つために、以下のコマンドでシステムを更新します。
sudo apt update -y && sudo apt upgrade -y
システムが最新バージョンに更新されたら、次のステップはパッケージを介してSuricataをインストールすることです。 SuricataパッケージはすでにDebian11に含まれているため、パッケージをインポートする必要がないため、次のコマンドのみを実行できます。
sudo apt install suricata -y
インストールが完了したら、次のコマンドでサービスを開始します。
sudo systemctl start suricata
サービスを自動的に有効にするには、システムの再起動時に次のコマンドを実行します。
sudo systemctl enable suricata
サービスのステータスを確認し、すべてが正常であることを確認するには、次のコマンドを実行します。
sudo systemctl status suricata
以下に説明するように出力を受け取るはずです:
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
デフォルトでは、Suricataのインストールは、トラフィックをログに記録するようにのみ構成されており、ドロップを防ぐことはできません。このモードはSuricataIDSモードと呼ばれ、トラフィックのタイプに応じてこれを変更する場合は、SuricataIPSモードを使用する必要があります。 Suricataをカスタマイズするための変更は、「 /etc/suricata/suricata.yaml」を開くことで実行できます。 」ファイルをお気に入りのエディタに追加します。
次のいくつかの見出しでは、Suricataのインストールとそのデフォルト構成の後にどのような変更を行う必要があるかを説明します。つまり、デフォルトのSuricataインストールをカスタマイズします。
コミュニティフローIDは、ZeekやElasticsearchなどのツールでSuricataを使用する場合に使用されます。
コミュニティフローIDを有効にするには、「suricata.yaml」ファイルを開き、「community-id」の行を見つけて、trueに設定します。
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Suricataライブルールのリロードを使用すると、「 suricata.service 」を再起動せずに、ルールを追加、編集、および削除できます。 「。このオプションを有効にするには、「 suricata.yaml」を開きます ファイルを作成し、下部に次の行を追加します。
detect-engine: - rule-reload: true
Suricataがトラフィックを使用および検査しているデフォルトのネットワークインターフェースは「eth0」です。 「。 Suricataでこれをオーバーライドして、別のネットワークインターフェースのトラフィックを検査する場合は、「 suricata.yaml」を開きます。 ファイルを作成し、「-interface:default」を見つけます。見つけたら、その行の前に、以下の説明に従って次の行を追加します。
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
この例では、「 enp0s1 」をネットワークインターフェースとして使用し、cluster-id番号は98です。cluster-id番号はこのファイル内で一意である必要があることに注意してください。
Suricataルールセット
Suricataに含まれる限定された検出ルールのセットは、 / etc / suricata / rulesにあります。 ディレクトリ。外部プロバイダーからルールセットをフェッチするには、Suricataに含まれている更新ツールを使用してコマンドを実行する必要があります。
sudo suricata-update -o /etc/suricata/rules
次の出力が表示されます。
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
最後に、ネットワークインターフェイス、コミュニティフローID、ルールなどのすべてが設定されたら、次のコマンドを実行して、Suricataの構成に問題がないかどうかを確認できます。
suricata -T /etc/suricata/suricata.yaml
以下に説明するように出力を受け取るはずです:
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
それでおしまい。 Debian 11にSuricataネットワークセキュリティツールを正常にインストールして設定しました。使いにくい場合は、管理者に連絡して設定してください。 24時間年中無休でご利用いただけます。
Debian 11にSuricataをインストールする方法に関するこの投稿が気に入った場合は、左側のボタンを使用してソーシャルネットワーク上の友達と共有するか、下に返信を残してください。ありがとう。