IDS / IPS Suricata. Instalación, configuración y puesta en marcha.

Publicado el 18 febrero, 2011 por Alfon

He hablado mucho aquí sobre Snort y la gran mayoría de herramietas que se basan o usan este motor IDS. Llega el momento de hablar de otros motores.

suricata ids ips

En esta ocasión instalaremos, configuraremos y pondremos en marcha el IDS/IPS Suricata de The Open Information Security Foundation. Es Open Source y tiene unas características especiales (multi-hilo, etc.. lo iremos viendo) que hacen de Suricata un motor muy interesante. Además es totalmente compatible con las reglas Snort y Emerging Threads.

(NOTA: Ya disponible la parte I: IDS / IPS Suricata. Entendiendo y configurando Suricata. Parte I)

Empezamos…:

Instalación y configuración de Suricata.

Antes que nada:

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-1 libyaml-dev zliblg zliblg-dev libcap-ng-dev libcap-ng0

Algunos paquetes puede que no sean localizados:

E: No se ha podido localizar el paquete libyaml-0-1
E: No se ha podido localizar el paquete zliblg
E: No se ha podido localizar el paquete zliblg-dev

Los reemplazaremos por:

  • libyaml-0-2  (libyaml-dev)
  • libcap-ng-dev
  • zlib1g

Descargamos e Instalamos Suricata:

wget http://www.openinfosecfoundation.org/download/suricata-current.tar.gz
tar -xvzf suricata-current.tar.gz
cd suricata-1.0.2 o la versión que sea.

sudo ./configure
sudo mkdir /var/log/suricata/
sudo make
sudo make install

Es posible que cuando ejecutemos suricata, nos de un error tal como este:

  • «libhtp-0.2.so.1: cannot open shared object file«

Para evitar dicho error hacemos lo siguiente:

  • Editamos el archivo  /etc/ld.so.conf y añadimos la línea include /usr/local/lib si el error persiste pasamos a la segunda opción:
  • Copiar …: sudo cp /usr/local/lib/libhtp*.* /lib/

Estamos auún dentro de la carpeta suricata-1.0.2 y:

sudo mkdir /etc/suricata
dentro de suricata-1.0.2:
sudo cp suricata.yaml /etc/suricata/
sudo cp classification.config /etc/suricata/

Salimos de la carpeta  suricata-1.0.2.

Descargando las reglas.

Vamos a la carpeta /etc/suricata/

sudo wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz
sudo tar xzvf emerging.rules.tar.gz

Se habrá creado una carpeta /etc/suricata/rules con las reglas.

Creación de usuario suricata y permisos.

sudo useradd  -s /bin/false –user-group -c «Usuario Suricata IDS» suricata

Demos permisos a la carpeta /var/log/suricata que hemos creado más arriba:

sudo chown suricata:suricata /var/log/suricata

El archivo threshold.config.

Es posible que al ejecutar suricata aparezca un error:

Error opening file: «threshold.config»: No such file or directory

Para areglarlo, si tenemos snort instalado en nuestro sistema:

  • copiamos con sudo cp el archivo  /etc/snort/threshold.conf a /etc/suricata/
  • editamos /etc/suricata/suricata.yaml y descomentamos y arreglamos la linea corrrespondiente a la ubicación de threshold.conf.

Ejecutando Suricata.

  • sudo suricata -c /etc/suricata/suricata.yaml -i eth0

Veremos algunos errores con el parseado de algunas reglas, etc pero una vez que se inicie el motor (engine started), estára funcionado:

ejecutando suricata ids ips

Las alertas de Suricata.

Las alertas se almacenan en /var/log/suricata y se crean:

  • fast.log
  • http.log
  • stat.log
  • alertas unified2

alertas suricara ids ips alerts

Vamos a editar fast.log (pulsar en la imagen para agrandar):

fast.log de suricara ids ips alertas

El archivo de configuración de suricata.

Se encuentra en /etc/suricata/suricata.yaml

Aquí encontraremos las variables HOME_NET, EXTERNAL_NET, etc. que al igual que con Snort que tendremos que configurar.

También ubicación de reglas, classification-files, etc.

Podemos habilitar y deshabilitar las reglas emergung-rules que hemos descargado anteriormente.

Orden de acción de reglas: pass, drop, reject…, los formato de salidas de las alertas, etc, etc,

También los que sería los procesadores snort..: stream ,flow,…

En próximos capítulos iremos afinando la configuración, resolución de errores, etc.

Relacionado:

Ya disponible la parte I: IDS / IPS Suricata. Entendiendo y configurando Suricata. Parte I)

===============

Y Hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Seguridad y redes, Snort, Suricata. Guarda el enlace permanente.

5 respuestas a IDS / IPS Suricata. Instalación, configuración y puesta en marcha.

  1. Claudio C. dijo:
    21 febrero, 2011 en 5:46 pm

    Como siempre, fantástico Materia!!
    Saludos

    Responder

  2. Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes

  3. Grover dijo:
    13 marzo, 2014 en 2:47 pm

    Una consulta, para obterner los Logs es necesario alguna configuracion de la tarjeta de red o en el switch, porque tengo corriendo a suricata y no genera muchos logs

    Responder

  4. Pingback: Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata. | Seguridad y Redes

  5. proyectotictac dijo:
    30 octubre, 2015 en 8:42 pm

    Reblogueó esto en BLOG DEL PROYECTO TIC – TACy comentado:
    Excelente Post dedicado a Suricata!

    Responder

Deja un comentario