Suricata est un outil open source de détection des menaces réseau avec des fonctionnalités telles que la détection des intrusions, la prévention des intrusions, ainsi que la surveillance de la sécurité du réseau. Il excelle dans l'inspection approfondie des paquets et la correspondance des modèles, ce qui en fait un outil inestimable pour détecter les menaces et les attaques.
Suricata peut générer des journaux, supprimer du trafic et déclencher des alertes au cas où des paquets suspects se trouveraient sur votre réseau.
Chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes d'installation de logiciels système Linux Ubuntu.
Dans ce cadre, nous allons nous pencher sur la procédure complète d'installation de Suricata IDS sur ubuntu 20.04.
Étapes pour installer Suricata IDS sur Ubuntu 20.04 LTS (Focal Fossa)
1. Effectuez la mise à jour du système
Pour commencer, assurez-vous que vos packages système sont mis à jour en exécutant la commande ci-dessous :
$ sudo apt update
2. Ajouter un référentiel Suricata
La dernière version stable de Suricata est disponible sur le référentiel PPA maintenu par OISF. Par conséquent, nous allons ajouter le référentiel Suricata sur votre système Ubuntu :
$ sudo add-apt-repository ppa:oisf/suricata-stable
Ensuite, mettez à jour l'index des packages de votre système :
$ sudo apt update
Une fois le PPA en place, passez à l'étape suivante et installez le Suricat IDS.
3. Installez Suricata
Pour installer Suricata, lancez la commande :
$ sudo apt install suricata
Avec l'installation de Suricata, allons un peu plus loin et lui permettons de démarrer au démarrage :
$ sudo systemctl enable suricata.service
Ensuite, assurez-vous que l'installation a réussi en exécutant la commande suivante :
$ sudo suricata –build-info
Confirmez que le service systemd de Suricata est en cours d'exécution :
$ sudo systemctl status suricata
La sortie confirme que Suricata est opérationnel sur Ubuntu 20.04
Comment configurer Suricata sur Ubuntu ?
Le fichier de configuration de Suricata se trouve dans le chemin /etc/suricata/suricata.yaml. Pour la configuration de base, nous devons configurer Suricata pour votre réseau interne et externe. Ouvrez le fichier de configuration avec la commande ci-dessous :
$ sudo vim /etc/suricata/suricata.yaml
Ensuite, spécifiez l'adresse IP pour la variable HOME_NET. Dans ce cas, notre adresse IP est 192.168.100.1. La variable HOME_NET est l'adresse IP de votre réseau local ou de l'interface que vous souhaitez surveiller. Ensuite, définissez la valeur pour EXTERNA_NET comme étant tout réseau qui n'est pas votre adresse IP locale.
Ensuite, accédez à la section af-packet du fichier de configuration et modifiez le nom de l'interface pour refléter l'interface réseau choisie.
Comment définir les règles Suricata ?
Suricata vous permet de créer des règles de réseau ou des signatures selon vos besoins. Les règles les plus courantes incluent Emerging Threats et Emerging Threats Pro.
Le fichier de règles se trouve dans le répertoire /etc/suricata/rules/. Pour afficher le contenu, exécutez :
$ ls /etc/suricata/rules/
Pour installer l'ensemble de règles Emerging Threats Open, exécutez :
$ sudo suricata-update
Cela installera les règles dans le répertoire /var/lib/suricata/rules/.
Comment lancer Suricata ?
Après avoir installé toutes les règles, vous pouvez redémarrer le service Suricata IDS avec la commande ci-dessous :
$ sudo systemctl restart suricata
Vous pouvez également consulter les journaux Suricata avec la commande ci-dessous :
$ sudo tail /var/log/suricata/suricata.log