Cargando



Cómo instalar y Configurar Suricata en Ubuntu

Tutorial con vídeo para saber cómo instalar y Configurar Suricata en Ubuntu de manera detallada paso a paso.


Escrito por sep 19 2022 11:59 ubuntu

En Ubuntu encontramos una serie de opciones que nos permiten aumentar las funciones y capacidad del sistema y al tratarse de un sistema versátil que ha aganado un puesto importante tanto para usuarios finales como para servidores es ideal contar con opciones especiales de seguridad y una de ellas la logramos gracias a Suricata.

 

Tutorial para saber ejecutar .exe Linux o instalar .exe en Linux usando Ubuntu.

 

Suricata se ha desarrollado como un software de análisis de red y detección de amenazas de código abierto el cual cuenta con alto rendimiento para que sus tareas y capacidades sean explotadas al máximo ya que permite realizar un monitoreo de seguridad en aspectos como red, IPS e IDS.

 

Características
Dentro de sus características encontramos:
  • Cuenta con un potente analizador de detección y respuesta a amenazas
  • Puede integrase a la red local así como a opciones de red disponibles en el mercado
  • Suricata esta en la capacidad de registrar solicitudes HTTP así como registrar y almacenar certificados TLS
  • Cuenta con soporte completo de captura de pcap para un posterior análisis
  • Dispone de funciones de registro y análisis de TLS/SSL
  • Suricata puede registrar todas las conexiones HTTP disponibles en los puertos con el fin de revisar la actividad de cada uno de ellos
  • Se encarga de registrar todas las consultas y respuestas de DNS
  • Suricata implementa un lenguaje de firma el cual coincide con las amenazas más populares así como con las infracciones de políticas más recurrentes
  • Posee un motor que cuenta con una base de código multiproceso, limpio y escalable
  • Cuenta con soporte nativo para la aceleración de hardware usando PF_RING y AF_PACKET
  • Puede detectar automáticamente protocolos en cualquier puerto y luego aplicar la lógica de detección y registro en base a dicho protocolo
  • Cuenta con análisis avanzado y funcionalidades disponibles para detectar elementos que no forman parte del estándar de las reglas

 

Veamos en este tutorial cómo instalar Suricata en Ubuntu y contra con una potente herramienta de análisis.

 

Para estar al día, recuerda suscribirte a nuestro canal de YouTube!   SUSCRIBETE

 

Cómo instalar y usar Suricata en Ubuntu

 

Paso 1

Abrimos la terminal e instalamos Suricata con el comando:
sudo apt install suricata

 

Paso 2

Ingresamos la contraseña y confirma el proceso usando la tecla S:

 

 

Paso 3

Validamos el estado de Suricata:
sudo systemctl status suricata

 

Paso 4

En caso de estar fallando ejecutamos lo siguiente:
sudo systemctl start suricata

 

Paso 5

Es momento de configurar Suricata de forma local en Ubuntu, para esto accedemos con algún editor al archivo de configuración de Suricata:
sudo nano /etc/suricata/suricata.yaml

 

Paso 6

Al acceder allí veremos lo siguiente:

 

 

Paso 7

En "HOME_NET" asignamos la IP de Ubuntu, podemos usar el comando “ip a” para ver la IP actual y en "EXTERNAL_NET" validamos que esté la opción "“!$HOME_NET“":

 

 

Guardamos los cambios con Ctrl + O y salimos del editor con Ctrl + X.

 

Paso 8

Actualizamos las reglas de Suricata:
sudo suricata-update -o /etc/suricata/rules

 

Por defecto Suricata cuenta con un grupo limitado de reglas de detección las cuales están alojadas en el directorio /etc/suricata/rules, el anterior comando carga las reglas de amenazas emergentes (ET), para disponer de un grupo de reglas más completo.

 

Paso 9

En este caso hubo un total de 35671 las cuales habilitadas han sido 28112, eliminadas 0 y se modificaron 0.
El siguiente paso es añadir reglas de proveedores, para esto con la utilidad de actualización de suricata es posible hacerlo, en este caso debemos saber que algunos serán de pago y otros gratuitos, para ver el conjunto predeterminado de proveedores de reglas ejecutamos:
sudo suricata-update list-sources

 

Paso 10

Al final veremos todas las opciones disponibles:

 

 

Paso 11

Agregamos una regla usando la siguiente sintaxis:
sudo suricata-update enable-source “regla”

 

Paso 12

Al añadir el nuevo conjunto de reglas, debemos ejecutar el comando suricata-update para aplicar el cambio:
sudo suricata-update -o /etc/suricata/rules

 

Paso 13

Validamos la configuración de Suricata:
sudo suricata -T -c /etc/suricata/suricata.yaml -v

 

Paso 14

Es posible usar el conjunto de reglas de ET Open para simular una intrusión, para ello se hará uso de la función de IDS la cual a su vez usa una identificación de firma de 2100498 con el envío de una solicitud HTTP hacia testmynids.org, ejecutamos:
curl http://testmynids.org/uid/index.html

 

Paso 15

En caso de no contar con CURL ejecutamos:
sudo apt install curl
Aplicamos los cambios y descargamos de nuevo:

 

 

 

 

 

Paso 16

Usamos grep para validar si existen entradas:
grep 2100948 /var/log/suricata/fast.log

 

Opciones
Algunas opciones que podemos usar con Suricata son:
  • -c <ruta>: es la ruta al archivo de configuración
  • -T : es el archivo de configuración de prueba (se usa con -c)
  • -i <dev o ip>: permite ejecutarse en modo pcap en vivo
  • -r <ruta>: ejecuta Suricata con un archivo pcap en modo fuera de línea
  • -s <ruta>: es la ruta al archivo de firma disponible en la configuración de suricata.yaml
  • -l <dir>: es el directorio de registro por defecto
  • -D: se ejecuta como demonio
  • -k [all|none]: fuerza la verificación de la suma de comprobación (all) o la deshabilita (none)
  • -V : permite ver la versión de Suricata
  • -v: permite ver más detalles
  • --list-app-layer-protos : lista los protocolos de capa de aplicación admitidos
  • --list-keywords[=all|csv|<kword>] : enumera las palabras clave usadas por el motor
  • --pidfile <archivo>: escribe el PID en el archivo indicado
  • --disable-detection : deshabilita el motor de detección
  • --build-info: muestra la información de compilación usada

 

Con ello podemos ver como Suricata es una opción ideal para estar preparados ante las amenazas que surgen en un mundo propenso e ellas.

 

Tutorial para saber cómo usar Wine o ejecutar exe en Linux sin Wine para ejecutar programas de Windows en Linux.


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!


  Información

  •   Publicado sep 19 2022 11:59
  •   Visitas 266
  •   Nivel
    Avanzado


X