He hablado mucho aquí sobre Snort y la gran mayoría de herramietas que se basan o usan este motor IDS. Llega el momento de hablar de otros motores.
En esta ocasión instalaremos, configuraremos y pondremos en marcha el IDS/IPS Suricata de The Open Information Security Foundation. Es Open Source y tiene unas características especiales (multi-hilo, etc.. lo iremos viendo) que hacen de Suricata un motor muy interesante. Además es totalmente compatible con las reglas Snort y Emerging Threads.
(NOTA: Ya disponible la parte I: IDS / IPS Suricata. Entendiendo y configurando Suricata. Parte I)
Empezamos…:
Instalación y configuración de Suricata.
Antes que nada:
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-1 libyaml-dev zliblg zliblg-dev libcap-ng-dev libcap-ng0
Algunos paquetes puede que no sean localizados:
E: No se ha podido localizar el paquete libyaml-0-1
E: No se ha podido localizar el paquete zliblg
E: No se ha podido localizar el paquete zliblg-dev
Los reemplazaremos por:
- libyaml-0-2 (libyaml-dev)
- libcap-ng-dev
- zlib1g
Descargamos e Instalamos Suricata:
wget http://www.openinfosecfoundation.org/download/suricata-current.tar.gz
tar -xvzf suricata-current.tar.gz
cd suricata-1.0.2 o la versión que sea.
sudo ./configure
sudo mkdir /var/log/suricata/
sudo make
sudo make install
Es posible que cuando ejecutemos suricata, nos de un error tal como este:
- «libhtp-0.2.so.1: cannot open shared object file«
Para evitar dicho error hacemos lo siguiente:
- Editamos el archivo /etc/ld.so.conf y añadimos la línea include /usr/local/lib si el error persiste pasamos a la segunda opción:
- Copiar …: sudo cp /usr/local/lib/libhtp*.* /lib/
Estamos auún dentro de la carpeta suricata-1.0.2 y:
sudo mkdir /etc/suricata
dentro de suricata-1.0.2:
sudo cp suricata.yaml /etc/suricata/
sudo cp classification.config /etc/suricata/
Salimos de la carpeta suricata-1.0.2.
Descargando las reglas.
Vamos a la carpeta /etc/suricata/
sudo wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz
sudo tar xzvf emerging.rules.tar.gz
Se habrá creado una carpeta /etc/suricata/rules con las reglas.
Creación de usuario suricata y permisos.
sudo useradd -s /bin/false –user-group -c «Usuario Suricata IDS» suricata
Demos permisos a la carpeta /var/log/suricata que hemos creado más arriba:
sudo chown suricata:suricata /var/log/suricata
El archivo threshold.config.
Es posible que al ejecutar suricata aparezca un error:
Error opening file: «threshold.config»: No such file or directory
Para areglarlo, si tenemos snort instalado en nuestro sistema:
- copiamos con sudo cp el archivo /etc/snort/threshold.conf a /etc/suricata/
- editamos /etc/suricata/suricata.yaml y descomentamos y arreglamos la linea corrrespondiente a la ubicación de threshold.conf.
Ejecutando Suricata.
- sudo suricata -c /etc/suricata/suricata.yaml -i eth0
Veremos algunos errores con el parseado de algunas reglas, etc pero una vez que se inicie el motor (engine started), estára funcionado:
Las alertas de Suricata.
Las alertas se almacenan en /var/log/suricata y se crean:
- fast.log
- http.log
- stat.log
- alertas unified2
Vamos a editar fast.log (pulsar en la imagen para agrandar):
El archivo de configuración de suricata.
Se encuentra en /etc/suricata/suricata.yaml
Aquí encontraremos las variables HOME_NET, EXTERNAL_NET, etc. que al igual que con Snort que tendremos que configurar.
También ubicación de reglas, classification-files, etc.
Podemos habilitar y deshabilitar las reglas emergung-rules que hemos descargado anteriormente.
Orden de acción de reglas: pass, drop, reject…, los formato de salidas de las alertas, etc, etc,
También los que sería los procesadores snort..: stream ,flow,…
En próximos capítulos iremos afinando la configuración, resolución de errores, etc.
Relacionado:
Ya disponible la parte I: IDS / IPS Suricata. Entendiendo y configurando Suricata. Parte I)
===============
Y Hasta aquí por hoy. Hasta la próxima.
Como siempre, fantástico Materia!!
Saludos
Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes
Una consulta, para obterner los Logs es necesario alguna configuracion de la tarjeta de red o en el switch, porque tengo corriendo a suricata y no genera muchos logs
Pingback: Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata. | Seguridad y Redes
Reblogueó esto en BLOG DEL PROYECTO TIC – TACy comentado:
Excelente Post dedicado a Suricata!