Dans ce tutoriel, nous allons vous expliquer étape par étape comment installer et personnaliser Suricata sur Debian 11.
Suricata est un outil de surveillance de la sécurité réseau qui traite et contrôle le trafic réseau. Il est également utilisé pour générer des alertes, des journaux et détecter des paquets ou des demandes suspects sur tout service arrivant sur votre serveur. Suricata peut être déployé sur un serveur hôte pour analyser le trafic réseau entrant et sortant ou il peut être utilisé localement sur n'importe quelle machine compatible.
Dans les prochaines étapes, vous en apprendrez plus sur Suricata, son installation et sa personnalisation. L'installation est un processus simple et peut être effectuée en quelques minutes. Commençons !
Prérequis
- Nouvelle installation de Debian 11
- Privilèges utilisateur :utilisateur root ou non root avec privilèges sudo
- VPS avec au moins 4 Go de RAM (notre forfait SSD 4 VPS)
Mettre à jour le système
Pour que notre système soit à jour avant l'installation nous allons le mettre à jour avec la commande ci-dessous :
sudo apt update -y && sudo apt upgrade -y
Installer Suricata
Une fois que le système est mis à jour vers ses dernières versions, l'étape suivante consiste à installer le Suricata via le package. Le paquet Suricata est déjà inclus dans Debian 11, nous n'avons donc pas besoin d'importer de paquets donc pour exécuter uniquement la commande suivante :
sudo apt install suricata -y
Une fois l'installation terminée, démarrez le service avec la commande suivante :
sudo systemctl start suricata
Pour permettre au service de démarrer automatiquement au redémarrage du système, exécutez la commande :
sudo systemctl enable suricata
Pour vérifier l'état du service, et vérifier que tout va bien, exécutez la commande ci-dessous :
sudo systemctl status suricata
Vous devriez recevoir le résultat décrit ci-dessous :
root@vps:~# sudo systemctl status suricata
● suricata.service - Suricata IDS/IDP daemon
Loaded: loaded (/lib/systemd/system/suricata.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-12-22 09:01:49 EST; 3min 34s ago
Docs: man:suricata(8)
man:suricatasc(8)
https://suricata-ids.org/docs/
Main PID: 40712 (Suricata-Main)
Tasks: 10 (limit: 4678)
Memory: 62.6M
CPU: 1min 3.410s
CGroup: /system.slice/suricata.service
└─40712 /usr/bin/suricata -D --af-packet -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
Dec 22 09:01:49 test.vps systemd[1]: Starting Suricata IDS/IDP daemon...
Dec 22 09:01:49 test.vps suricata[40711]: 22/12/2021 -- 09:01:49 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
Dec 22 09:01:49 test.vps systemd[1]: Started Suricata IDS/IDP daemon.
Par défaut, l'installation de Suricata est configurée uniquement pour consigner le trafic et n'empêcher aucune suppression. Ce mode s'appelle le mode Suricata IDS, et si vous souhaitez le modifier en fonction du type de votre trafic, vous devrez utiliser le mode Suricata IPS. Les modifications pour personnaliser le Suricata peuvent être effectuées en ouvrant le fichier "/etc/suricata/suricata.yaml ” fichier avec votre éditeur préféré.
Dans les prochaines rubriques, nous vous expliquerons quelles sont les modifications à apporter après l'installation de Suricata et sa configuration par défaut. En d'autres termes, nous personnaliserons l'installation par défaut de Suricata.
Activation de l'ID de flux communautaire
L'ID de flux communautaire est utilisé lorsque vous prévoyez d'utiliser Suricata avec des outils tels que Zeek ou Elasticsearch.
Pour activer l'ID de flux communautaire, ouvrez le fichier "suricata.yaml", recherchez la ligne avec "community-id" et définissez-la sur true.
# Community Flow ID
# Adds a 'community_id' field to EVE records. These are meant to give
# records a predictable flow ID that can be used to match records to
# output of other tools such as Zeek (Bro).
#
# Takes a 'seed' that needs to be same across sensors and tools
# to make the id less predictable.
# enable/disable the community id feature.
community-id: true
Rechargement des règles en direct
Avec le rechargement des règles en direct de Suricata, vous pouvez ajouter, modifier et supprimer les règles sans redémarrer le "suricata.service “. Pour activer cette option, ouvrez le fichier "suricata.yaml fichier et en bas ajoutez les lignes suivantes :
detect-engine: - rule-reload: true
Interface réseau
L'interface réseau par défaut que Suricata utilise et inspecte le trafic est "eth0 “. Si vous souhaitez remplacer cela pour que Suricata inspecte le trafic sur une autre interface réseau, ouvrez le fichier "suricata.yaml fichier, et recherchez le "- interface:default". Une fois que vous l'avez trouvé, avant cette ligne, ajoutez les lignes suivantes comme décrit ci-dessous :
- interface: enp0s1 cluster-id: 98 - interface: default #threads: auto #use-mmap: no #tpacket-v3: yes
Dans cet exemple, nous avons ajouté le "enp0s1 ” en tant qu'interface réseau et le numéro d'identification de cluster 98. Veuillez noter que le numéro d'identification de cluster doit être unique dans ce fichier.
Ensembles de règles Suricata
L'ensemble limité de règles de détection inclus par Suricata se trouve dans /etc/suricata/rules annuaire. Pour récupérer les ensembles de règles auprès de fournisseurs externes, vous devez exécuter la commande avec l'outil de mise à jour inclus dans Suricata :
sudo suricata-update -o /etc/suricata/rules
Vous devriez recevoir le résultat suivant :
23/12/2021 -- 16:49:57 - -- Using data-directory /var/lib/suricata. 23/12/2021 -- 16:49:57 - -- Using Suricata configuration /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Using /etc/suricata/rules for Suricata provided rules. 23/12/2021 -- 16:49:57 - -- Found Suricata version 6.0.1 at /usr/bin/suricata. 23/12/2021 -- 16:49:57 - -- Loading /etc/suricata/suricata.yaml 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol http2 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol modbus 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol dnp3 23/12/2021 -- 16:49:57 - -- Disabling rules for protocol enip 23/12/2021 -- 16:49:57 - -- No sources configured, will use Emerging Threats Open 23/12/2021 -- 16:49:57 - -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.1/emerging.rules.tar.gz. 100% - 3119656/3119656 23/12/2021 -- 16:49:58 - -- Done. 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/app-layer-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/decoder-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dhcp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dnp3-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/dns-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/files.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/http-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ipsec-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/kerberos-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/modbus-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/nfs-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/ntp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smb-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/smtp-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/stream-events.rules 23/12/2021 -- 16:49:58 - -- Loading distribution rule file /etc/suricata/rules/tls-events.rules 23/12/2021 -- 16:49:58 - -- Ignoring file rules/emerging-deleted.rules 23/12/2021 -- 16:50:04 - -- Loaded 31699 rules. 23/12/2021 -- 16:50:05 - -- Disabled 14 rules. 23/12/2021 -- 16:50:05 - -- Enabled 0 rules. 23/12/2021 -- 16:50:05 - -- Modified 0 rules. 23/12/2021 -- 16:50:05 - -- Dropped 0 rules. 23/12/2021 -- 16:50:05 - -- Enabled 131 rules for flowbit dependencies. 23/12/2021 -- 16:50:05 - -- Backing up current rules. 23/12/2021 -- 16:50:05 - -- Writing rules to /etc/suricata/rules/suricata.rules: total: 31699; enabled: 24319; added: 31699; removed 0; modified: 0 23/12/2021 -- 16:50:05 - -- Writing /etc/suricata/rules/classification.config 23/12/2021 -- 16:50:06 - -- Testing with suricata -T. 23/12/2021 -- 16:50:44 - -- Done.
Tester la configuration
À la fin, lorsque tout est configuré, comme l'interface réseau, l'ID de flux communautaire et les règles, nous pouvons vérifier la configuration de Suricata si tout va bien, en exécutant la commande ci-dessous :
suricata -T /etc/suricata/suricata.yaml
Vous devriez recevoir le résultat décrit ci-dessous :
root@vps:~# suricata -T /etc/suricata/suricata.yaml 23/12/2021 -- 16:51:15 - - Running suricata under test mode 23/12/2021 -- 16:51:15 - - This is Suricata version 6.0.1 RELEASE running in SYSTEM mode 23/12/2021 -- 16:51:52 - - Configuration provided was successfully loaded. Exiting.
C'est ça. Vous avez installé et configuré avec succès l'outil de sécurité réseau Suricata sur Debian 11. Si vous le trouvez difficile à utiliser, vous pouvez contacter nos administrateurs et ils le configureront pour vous. Nous sommes disponibles 24h/24 et 7j/7.
Si vous avez aimé cet article sur l'installation de Suricata sur Debian 11, partagez-le avec vos amis sur les réseaux sociaux en utilisant les boutons à gauche ou laissez simplement une réponse ci-dessous. Merci.