So installierst du Suricata IDS auf einem Ubuntu 24.04 Server
Suricata ist ein Open-Source-IDS (Intrusion Detection System) und IPS (Intrusion Prevention System), das von der OSIF (open infosec foundation) entwickelt wurde. Es kann den Netzwerkverkehr überwachen und untersuchen und jedes Paket verarbeiten, um bösartige Netzwerkaktivitäten zu erkennen. Du kannst Ereignisse protokollieren, Warnungen auslösen und sogar den Datenverkehr bei verdächtigen Netzwerkaktivitäten unterbrechen.
Diese Anleitung zeigt dir, wie du Suricata IDS auf einem Ubuntu 24.04 Server installierst. Du installierst und konfigurierst Suricata, lädst ET-Signaturen und Regeln herunter und startest Suricata dann im Hintergrund als systemd-Dienst.
Voraussetzungen
Um mit dieser Anleitung zu beginnen, musst du Folgendes haben:
- Einen Ubuntu 24.04 Server.
- Einen Nicht-Root-Benutzer mit Administrator-Rechten.
Installation aus dem Quellcode
In diesem Abschnitt lernst du, wie du Suricata aus dem Quellcode installierst, indem du es manuell auf deinem System kompilierst. Zuvor installierst du die Paketabhängigkeiten, um Suricata zu kompilieren.
Führe zunächst den folgenden Befehl aus, um deinen Ubuntu-Paketindex zu aktualisieren und die Build-Abhängigkeiten zu installieren. Gib„Y“ ein, um die Installation zu bestätigen.
sudo apt update sudo apt install autoconf automake build-essential cargo \ cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \ libyaml-dev make pkg-config rustc zlib1g-dev
Gehe nun in das Verzeichnis„/usr/src“ und führe den folgenden Befehl aus, um den Suricata-Quellcode herunterzuladen und zu entpacken.
cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz tar -xf suricata-7.0.6.tar.gz
Gehe in das Verzeichnis„suricata-7.0.6“ und konfiguriere die Suricata-Kompilierung mit folgendem Befehl. Damit richtest du die Suricata-Binärdatei ein und installierst sie im Verzeichnis‚/usr/bin‚, die Suricata-Konfiguration im Verzeichnis‚/etc/suricata‚ und das Datenverzeichnis in‚/var/lib/suricata‚.
cd suricata-7.0.6/ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Wenn der Vorgang abgeschlossen ist, kopiere und installiere suricata mit dem unten stehenden Befehl.
sudo make && sudo make install-full
Sobald die Installation abgeschlossen ist, siehst du folgendes Bild:
Führe abschließend den folgenden Befehl aus, um die Binärdatei„suricata“ zu finden und ihre Version zu überprüfen.
which suricata suricata --build-info
In der folgenden Ausgabe kannst du sehen, dass suricata„7.0.6“ unter„/usr/bin/suricata“ installiert ist.
Installation über das PPA-Repository
Wenn du Suricata lieber über die APT installieren möchtest, musst du das suricata PPA-Repository zu deinem Ubuntu-System hinzufügen. Stelle außerdem sicher, dass das Paket„software-properties“ installiert ist.
Füge das PPA-Repository für suricata wie folgt hinzu:
sudo add-apt-repository ppa:oisf/suricata-stable
Aktualisiere nun dein Ubuntu-Paketindex-Repository und installiere suricata mit dem unten stehenden Befehl„apt„.
sudo apt update sudo apt install suricata
Gib„Y“ ein, um mit der Installation fortzufahren.
Nachdem die Installation abgeschlossen ist, überprüfe die suricata-Binärdatei und ihre Version mit dem unten stehenden Befehl.
which suricata suricata --build-info
Du siehst unten, dass suricata 7.0.6 über den APT-Paketmanager installiert wurde.
Zum Schluss führst du den unten stehenden Befehl aus, um den Dienst„suricata“ zu aktivieren und zu beenden. Du musst suricata beenden, bevor du es konfigurierst.
sudo systemctl enable suricata sudo systemctl stop suricata
Suricata konfigurieren
In diesem Abschnitt konfigurierst du Suricata für die Überwachung der Netzwerkschnittstelle. Suricata wird bösartigen Datenverkehr auf der Zielschnittstelle aufzeichnen.
Öffne die Standard-Suricata-Konfiguration„/etc/suricata/suricata.yaml“ mit dem Editor„nano„.
sudo nano /etc/suricata/suricata.yaml
Wenn du ein lokales Netzwerk verwendest, füge dein Heimnetzwerk-Subnetz zu den Variablen„HOME_NET“ und„EXTERNAL_NET“ hinzu.
HOME_NET: "[192.168.5.0/24]" ... EXTERNAL_NET: "!$HOME_NET"
Ändere im Abschnitt„af-packet“ die Standardeinstellung„interface“ in deine Zielschnittstelle. In diesem Beispiel werden wir die Schnittstelle„enp0s3“ mit suricata überwachen.
af-packet: - interface: enp0s3
Füge die Option„detect-engine“ mit der Option„rule-reload: true“ hinzu, damit die Regeln live neu geladen werden.
detect-engine: - rule-reload: true
Wenn du fertig bist, speichere die Datei und beende den Editor.
Suricata-Regelsätze aktualisieren
Bevor du Suricata startest und ausführst, musst du die Suricata Signaturen und Regeln herunterladen und aktualisieren. Das kannst du mit dem Befehl „suricata-update“ machen.
Führe den unten stehenden Befehl„suricata-update“ aus, um die suricata ET-Regeln herunterzuladen und zu aktualisieren. Der suricata startet nicht, wenn ET-Regeln fehlen.
sudo suricata-update
Die suricata-Regeln werden wie folgt in die Datei„/var/lib/suricata/suricata.rules“ geschrieben:
Du kannst die Quellen der Regeln mit dem folgenden Befehl überprüfen:
sudo suricata-update list-sources
Suricata ausführen
Nachdem du Suricata konfiguriert und die ET-Regeln heruntergeladen und aktualisiert hast, wirst du die Suricata-Regeln testen und den Dienst „suricata“ starten und überprüfen.
Um Suricata-Regeln zu testen, führst du den Befehl„suricata“ aus. Dadurch werden die verfügbaren Regeln in der Datei„/var/wlib/suricata/suricata.rules“ verarbeitet.
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Wenn kein Fehler auftritt, erhältst du die Ausgabe„suricata: Die angegebene Konfiguration wurde erfolgreich geladen.‚
Führe nun den folgenden Befehl aus, um den Dienst „suricata“ im Hintergrund zu starten und zu überprüfen.
sudo systemctl start suricata sudo systemctl status suricata
In der folgenden Ausgabe kannst du sehen, dass der„suricata„-Dienst läuft.
Fazit
Herzlichen Glückwunsch! Du hast die Installation von Suricata IDS auf dem Ubuntu 24.04 Server abgeschlossen. Du hast zwei Methoden kennengelernt, um Suricata zu installieren: die manuelle Kompilierung aus dem Quellcode und die Installation über den APT-Paketmanager. Außerdem hast du gelernt, wie du Suricata konfigurierst, Suricata-Signaturen und -Regeln aktualisierst und Suricata-Regeln testest.