[**]

Suricate est un moteur de détection des menaces puissant, polyvalent et open source qui fournit des fonctionnalités pour la détection des intrusions (IDS), la prévention des intrusions (IPS) et la surveillance de la sécurité du réseau. Il effectue une inspection approfondie des paquets ainsi qu’une correspondance de modèles, un mélange incroyablement puissant dans la détection des menaces.

Au moment de la rédaction de ce guide, la dernière version de Suricate est 6.0.5.

Caractéristiques de Suricata

  • IDS/IPS – Suricata est basé sur des règles Détection d’intrusion et La prévention moteur qui exploite des ensembles de règles développés en externe tels que Ensemble de règles Talos et Menaces émergentes Ensemble de règles Suricata pour surveiller le trafic réseau pour toute activité malveillante, violation de politique et menace.
  • Détection automatique du protocole – Le moteur Suricata détecte automatiquement les protocoles tels que HTTP et HTTPS. FTP et SMB sur n’importe quel port et appliquez la logique de détection et de journalisation appropriée. Cela est utile pour détecter les logiciels malveillants et les canaux CnC.
  • Script Lua – Suricata peut invoquer Lua des scripts qui fournissent une détection avancée des logiciels malveillants pour détecter et décoder le trafic de logiciels malveillants autrement difficile à détecter.
  • Multi-threading – Suricata fournit la vitesse et l’importance dans la détermination du trafic réseau. Le moteur est développé pour appliquer la puissance de traitement accrue offerte par les chipsets matériels multicœurs modernes.

Installation de l’outil de détection d’intrusion Suricata sous Linux

Dans cette section, nous vous montrerons comment installer Suricate sur les distributions basées sur Debian et RHEL.

Installer Suricata sur Debian/Ubuntu & Mint

Suricate est fourni par Debian/Ubuntu référentiels et peuvent être facilement installés à l’aide du gestionnaire de packages apt. Cependant, il convient de noter que cela n’installe pas la dernière version de Suricata. Pour installer la dernière version, vous devez l’installer à partir d’une source que nous aborderons plus loin dans ce guide.

Publicité

À installer Suricate en utilisant le apte gestionnaire de packages, exécutez la commande :

$ sudo apt install suricata -y
Installer Suricata Dans Ubuntu
Installer Suricata Dans Ubuntu

Suricata démarre automatiquement une fois installé. Vous pouvez le confirmer comme suit.

$ sudo systemctl status suricata
Vérifiez Suricata Dans Ubuntu
Vérifiez Suricata Dans Ubuntu

Installez Suricata sur RHEL, Rocky, Almalinux et Fedora

À installer Suricate sur RHEL distributions telles que CentOS Stream, Rocky Linux, AlmaLinux, Fedora et RHEL, vous devez d’abord activer le référentiel EPEL.

$ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm  [RHEL 9]
$ dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm  [RHEL 8]
$ yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm  [RHEL 7]

Une fois que EPEL est activé, installez les packages requis suivants et ajoutez le OISF référentiel sur votre système.

----------- On Fedora Systems ----------- 
$ sudo dnf install dnf-plugins-core
$ sudo  dnf copr enable @oisf/suricata-6.0

----------- On RHEL Systems ----------- 
$ sudo dnf install yum-plugin-copr
$ sudo dnf copr enable @oisf/suricata-6.0

Ensuite, installez Suricate en utilisant le gestionnaire de packages dnf ou le gestionnaire de packages yum, comme indiqué.

$ sudo dnf install suricata -y
Or
$ sudo yum install suricata -y
Installer Suricata Dans Rhel
Installer Suricata Dans Rhel

Une fois que Suricate est installé, démarrez et vérifiez son état.

$ sudo systemctl start suricata
$ sudo systemctl status suricata
Vérifier Suricata Dans Rhel
Vérifier Suricata Dans Rhel

Installer Suricata à partir de la source sous Linux

Les référentiels du système d’exploitation par défaut ne fournissent pas la dernière version de Suricate. Si votre objectif est d’installer la dernière version de Suricatealors vous devez l’installer à partir de la source.

Au moment de la rédaction de ce guide, la dernière version de Suricata est 6.0.5. À installer Suricate de la source sur Ubuntu/Debian et RHEL distributions, installez les bibliothèques, outils de compilation et dépendances suivants.

----------- On Debian Systems ----------- 
$ sudo apt install rustc build-essential cargo libpcre3 libpcre3-dbg libpcre3-dev make autoconf automake libtool libcap-ng0 make libmagic-dev libjansson-dev libjansson4 libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev pkg-config libnetfilter-queue1 libnfnetlink0 libnetfilter-queue-dev libnfnetlink-dev -y

----------- On RHEL Systems ----------- 
$ sudo yum install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel -y

Ensuite, installez l’outil suricata-update pour mettre à jour les règles Suricata.

$ sudo apt install python3-pip           [On Debian]
$ sudo yum install python3-pip           [On RHEL]
$ pip3 install --upgrade suricata-update

Créez ensuite un lien symbolique vers /usr/bin/suricata-update.

$ sudo ln -s /usr/local/bin/suricata-update /usr/bin/suricata-update

Dirigez-vous maintenant vers le Page de téléchargement officielle de Suricata et téléchargez le dernier fichier tarball pour Linux à l’aide de la commande wget.

$ wget https://www.openinfosecfoundation.org/download/suricata-6.0.6.tar.gz

Une fois téléchargé, extrayez le fichier tarball et installez-le.

$ sudo tar -xvf suricata-6.0.6.tar.gz
$ cd suricata-6.0.6
$ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
$ make
$ make install-full

Configurer Suricata sous Linux

Pour commencer la configuration Suricate, nous devons spécifier l’IP interne et le réseau externe. Pour cela, accédez au fichier de configuration.

$ sudo vim /etc/suricata/suricata.yaml

Pour le HOME_NET spécifiez l’adresse IP de votre système Linux.

HOME_NET: "[173.82.235.7]"

Ensuite, réglez le EXTERNAL_NET directive de «!$HOME_NET“.

EXTERNAL_NET: "!$HOME_NET"
Configurer Suricata Sous Linux
Configurer Suricata Sous Linux

Ensuite, spécifiez l’interface réseau sur laquelle Suricate inspectera le trafic réseau. Dans notre cas, c’est le eth0 interface.

Vous pouvez vérifier votre interface réseau active à l’aide de la commande ip :

$ ip a

Dans le fichier de configuration, mettez à jour la directive interface avec le nom de l’interface réseau.

- interface: eth0
Configurer L'Interface Réseau Suricata
Configurer L&Rsquo;Interface Réseau Suricata

Ensuite, assurez-vous que le chemin de règle par défaut l’attribut est défini sur /etc/suricata/rules.

Configurer Les Règles Suricata
Configurer Les Règles Suricata

Enregistrez ensuite les modifications et fermez le fichier de configuration. Puis redémarrez Suricate pour que les changements s’appliquent.

$ sudo systemctl status suricata

Mise à jour des ensembles de règles Suricata sous Linux

Par défaut, Suricate est livré avec un ensemble limité de règles de détection situées dans le /etc/suricata/rules annuaire. Cependant, ceux-ci sont considérés comme faibles et inefficaces pour détecter les intrusions. Vous devez charger le Menace émergente (HE) qui sont considérées comme les ensembles de règles les plus complets pour Suricata.

Suricate fournit un outil appelé suricata-mise à jour qui récupère les ensembles de règles de fournisseurs externes. Pour obtenir un ensemble de règles à jour pour votre serveur, exécutez la commande suivante.

$ sudo suricata-update -o /etc/suricata/rules
Mise À Jour Des Ensembles De Règles Suricata
Mise À Jour Des Ensembles De Règles Suricata
Télécharger Les Règles Sur Les Menaces Émergentes De Suricata
Télécharger Les Règles Sur Les Menaces Émergentes De Suricata

De la sortie, vous pouvez voir le suricata-mise à jour aller chercher le gratuit Menaces émergentes ET Règles ouvertes et les enregistrant chez Suricata /etc/suricata/rules/suricata fichier de règles. De plus, il indique le nombre de règles traitées. Dans cet exemple, un total de 35941 ont été ajoutés. De celles, 28221 étaient activés, 18 ont été supprimés, et 1249 ont été modifiés.

Ajout d’ensembles de règles Suricata sous Linux

La suricata-mise à jour L’outil vous permet de récupérer des règles auprès de fournisseurs d’ensembles de règles. Certains sont gratuits comme le ET ouvert ensemble, tandis que d’autres nécessitent un abonnement payant.

Pour répertorier l’ensemble de fournisseurs de règles par défaut, exécutez la commande suricata-mise à jour commande comme indiqué.

$ sudo suricata-update list-sources
Répertorier Les Fournisseurs De Règles Suricata
Répertorier Les Fournisseurs De Règles Suricata

Pour ajouter un ensemble de règles, par exemple, le tgreen/règles de chasseexécutez la commande suivante.

$ sudo suricata-update enable-source tgreen/hunting
Ajouter Un Ensemble De Règles Suricata
Ajouter Un Ensemble De Règles Suricata

Une fois que vous avez ajouté le ensemble de règleslancez le suricata-mise à jour commander une fois de plus avec le -o /etc/suricata/rules drapeau.

$ sudo suricata-update -o /etc/suricata/rules
Mettre À Jour L'Ensemble De Règles Suricata
Mettre À Jour L&Rsquo;Ensemble De Règles Suricata

Test des règles Suricata sous Linux

Avant de commencer les tests Suricate, il est recommandé de tester si la configuration est correcte. Pour ce faire, exécutez la commande suivante :

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v

Assurez-vous qu’aucune erreur n’est signalée. Si vous exécutez RHEL, CentOS Stream, Fedora et Rocky Linux, démarrez et activez Suricata.

$ sudo systemctl start suricata 
$ sudo systemctl enable suricata 

Jusqu’à présent, nous avons installé et configuré avec succès Suricate et mis à jour les ensembles de règles. L’ensemble de règles ET Open contient plus de 30 000 règles pour détecter le trafic malveillant. Dans cette section, nous allons mettre Suricata à l’épreuve et vérifier s’il peut détecter le trafic réseau suspect.

Nous allons tester le ET ouvert ensemble de règles en simulant une intrusion comme recommandé par Guide de démarrage rapide de Suricata.

La fonctionnalité IDS sera testée avec un ID de signature de 2100498 en envoyant une requête HTTP au testmynids.org site Web qui est un NIDS (Système de détection et d’intrusion réseau) cadre.

$ curl http://testmynids.org/uid/index.html

Vous devriez obtenir la sortie suivante.

uid=0(root) gid=0(root) groups=0(root)

La HTTP requête envoyée est conçue pour déclencher une alerte en imitant la sortie du identifiant commande qui pourrait s’exécuter sur un système distant compromis via un shell.

Passons maintenant au crible les journaux de Suricata pour une alerte correspondante. Suricata est livré avec deux fichiers journaux qui sont activés par défaut.

/var/log/suricata/fast.log
/var/log/suricata/eve.log

Nous allons rechercher une entrée de journal dans le /var/log/suricata/fast.log log qui correspond à la requête curl à l’aide de la commande grep. Nous allons rechercher les entrées de journal à l’aide de 2100498 identificateur de règle de la documentation Quickstart.

$ grep 2100948 /var/log/suricata/fast.log

Vous obtiendrez la sortie suivante qui signifie une intrusion. Ici, 173.82.235.7 est l’adresse IP publique du serveur.

09/09/2022-22:17:06.796434  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 -> 173.82.235.7:33822
Vérifier Les Journaux Suricata
Vérifier Les Journaux Suricata

Alternativement, vous pouvez vérifier le /var/log/suricata/eve.log fichier journal pour l’ID de signature 2100498, comme indiqué.

$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
Vérifier Le Journal Suricata Pour L'Id De Signature
Vérifier Le Journal Suricata Pour L&Rsquo;Id De Signature
Rate this post
Publicité
Article précédentDetective Conan: The Culprit Hanzawa Anime révèle 2 membres de la distribution de retour – News 24
Article suivantGérer, modifier et afficher les mots de passe enregistrés dans Chrome sur un PC Windows
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici