HowtoForge

So installierst du Suricata IDS auf einem Ubuntu 24.04 Server

von ·

Suricata ist ein Open-Source-IDS (Intrusion Detection System) und IPS (Intrusion Prevention System), das von der OSIF (open infosec foundation) entwickelt wurde. Es kann den Netzwerkverkehr überwachen und untersuchen und jedes Paket verarbeiten, um bösartige Netzwerkaktivitäten zu erkennen. Du kannst Ereignisse protokollieren, Warnungen auslösen und sogar den Datenverkehr bei verdächtigen Netzwerkaktivitäten unterbrechen.

Diese Anleitung zeigt dir, wie du Suricata IDS auf einem Ubuntu 24.04 Server installierst. Du installierst und konfigurierst Suricata, lädst ET-Signaturen und Regeln herunter und startest Suricata dann im Hintergrund als systemd-Dienst.

Voraussetzungen

Um mit dieser Anleitung zu beginnen, musst du Folgendes haben:

  • Einen Ubuntu 24.04 Server.
  • Einen Nicht-Root-Benutzer mit Administrator-Rechten.

Installation aus dem Quellcode

In diesem Abschnitt lernst du, wie du Suricata aus dem Quellcode installierst, indem du es manuell auf deinem System kompilierst. Zuvor installierst du die Paketabhängigkeiten, um Suricata zu kompilieren.

Führe zunächst den folgenden Befehl aus, um deinen Ubuntu-Paketindex zu aktualisieren und die Build-Abhängigkeiten zu installieren. Gib„Y“ ein, um die Installation zu bestätigen.

sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev

deps installieren

Gehe nun in das Verzeichnis„/usr/src“ und führe den folgenden Befehl aus, um den Suricata-Quellcode herunterzuladen und zu entpacken.

cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz

Gehe in das Verzeichnis„suricata-7.0.6“ und konfiguriere die Suricata-Kompilierung mit folgendem Befehl. Damit richtest du die Suricata-Binärdatei ein und installierst sie im Verzeichnis‚/usr/bin‚, die Suricata-Konfiguration im Verzeichnis‚/etc/suricata‚ und das Datenverzeichnis in‚/var/lib/suricata‚.

cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

configure suricata kompilieren

Wenn der Vorgang abgeschlossen ist, kopiere und installiere suricata mit dem unten stehenden Befehl.

sudo make && sudo make install-full

Sobald die Installation abgeschlossen ist, siehst du folgendes Bild:

kompilieren und installieren-full

Führe abschließend den folgenden Befehl aus, um die Binärdatei„suricata“ zu finden und ihre Version zu überprüfen.

which suricata
suricata --build-info

In der folgenden Ausgabe kannst du sehen, dass suricata„7.0.6“ unter„/usr/bin/suricata“ installiert ist.

Version prüfen

Installation über das PPA-Repository

Wenn du Suricata lieber über die APT installieren möchtest, musst du das suricata PPA-Repository zu deinem Ubuntu-System hinzufügen. Stelle außerdem sicher, dass das Paket„software-properties“ installiert ist.

Füge das PPA-Repository für suricata wie folgt hinzu:

sudo add-apt-repository ppa:oisf/suricata-stable

ppa hinzufügen

Aktualisiere nun dein Ubuntu-Paketindex-Repository und installiere suricata mit dem unten stehenden Befehl„apt„.

sudo apt update
sudo apt install suricata

Gib„Y“ ein, um mit der Installation fortzufahren.

Update installieren

Nachdem die Installation abgeschlossen ist, überprüfe die suricata-Binärdatei und ihre Version mit dem unten stehenden Befehl.

which suricata
suricata --build-info

Du siehst unten, dass suricata 7.0.6 über den APT-Paketmanager installiert wurde.

Version prüfen

Zum Schluss führst du den unten stehenden Befehl aus, um den Dienst„suricata“ zu aktivieren und zu beenden. Du musst suricata beenden, bevor du es konfigurierst.

sudo systemctl enable suricata
sudo systemctl stop suricata

Dienst einstellen

Suricata konfigurieren

In diesem Abschnitt konfigurierst du Suricata für die Überwachung der Netzwerkschnittstelle. Suricata wird bösartigen Datenverkehr auf der Zielschnittstelle aufzeichnen.

Öffne die Standard-Suricata-Konfiguration„/etc/suricata/suricata.yaml“ mit dem Editor„nano„.

sudo nano /etc/suricata/suricata.yaml

Wenn du ein lokales Netzwerk verwendest, füge dein Heimnetzwerk-Subnetz zu den Variablen„HOME_NET“ und„EXTERNAL_NET“ hinzu.

HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"

Ändere im Abschnitt„af-packet“ die Standardeinstellung„interface“ in deine Zielschnittstelle. In diesem Beispiel werden wir die Schnittstelle„enp0s3“ mit suricata überwachen.

af-packet:
 - interface: enp0s3

Füge die Option„detect-engine“ mit der Option„rule-reload: true“ hinzu, damit die Regeln live neu geladen werden.

detect-engine:
 - rule-reload: true

Wenn du fertig bist, speichere die Datei und beende den Editor.

Suricata-Regelsätze aktualisieren

Bevor du Suricata startest und ausführst, musst du die Suricata Signaturen und Regeln herunterladen und aktualisieren. Das kannst du mit dem Befehl „suricata-update“ machen.

Führe den unten stehenden Befehl„suricata-update“ aus, um die suricata ET-Regeln herunterzuladen und zu aktualisieren. Der suricata startet nicht, wenn ET-Regeln fehlen.

sudo suricata-update

Die suricata-Regeln werden wie folgt in die Datei„/var/lib/suricata/suricata.rules“ geschrieben:

Regeln aktualisieren

Testen

Du kannst die Quellen der Regeln mit dem folgenden Befehl überprüfen:

sudo suricata-update list-sources

Suricata ausführen

Nachdem du Suricata konfiguriert und die ET-Regeln heruntergeladen und aktualisiert hast, wirst du die Suricata-Regeln testen und den Dienst „suricata“ starten und überprüfen.

Um Suricata-Regeln zu testen, führst du den Befehl„suricata“ aus. Dadurch werden die verfügbaren Regeln in der Datei„/var/wlib/suricata/suricata.rules“ verarbeitet.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Wenn kein Fehler auftritt, erhältst du die Ausgabe„suricata: Die angegebene Konfiguration wurde erfolgreich geladen.

suricata-Test

Führe nun den folgenden Befehl aus, um den Dienst „suricata“ im Hintergrund zu starten und zu überprüfen.

sudo systemctl start suricata
sudo systemctl status suricata

In der folgenden Ausgabe kannst du sehen, dass der„suricata„-Dienst läuft.

Dienst überprüfen

Fazit

Herzlichen Glückwunsch! Du hast die Installation von Suricata IDS auf dem Ubuntu 24.04 Server abgeschlossen. Du hast zwei Methoden kennengelernt, um Suricata zu installieren: die manuelle Kompilierung aus dem Quellcode und die Installation über den APT-Paketmanager. Außerdem hast du gelernt, wie du Suricata konfigurierst, Suricata-Signaturen und -Regeln aktualisierst und Suricata-Regeln testest.

Das könnte dich auch interessieren …