Se você quer ficar de olho nas ameaças que chegam à sua rede, conheça e veja como instalar o utilitário de segurança Suricata no Ubuntu e derivados.
Suricata é um mecanismo de detecção de ameaças de rede gratuito e de código aberto, maduro, rápido e robusto. Ele é baseado em um conjunto de regras desenvolvido externamente para monitorar o tráfego de rede e fornecer alertas ao administrador do sistema quando ocorrerem eventos suspeitos.
O código-fonte do projeto é distribuído sob a licença GPLv2. O motor Suricata é capaz de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento de pcap offline.
Suricata inspeciona o tráfego de rede usando regras poderosas e extensas e linguagem de assinatura, e tem suporte de script Lua poderoso para detecção de ameaças complexas.
Com formatos de entrada e saída padrão, como YAML e JSON, as integrações com ferramentas como SIEMs existentes, Splunk, Logstash/Elasticsearch, Kibana e outros bancos de dados tornam-se fáceis.
Nas configurações Suricata, é permitido usar o banco de dados de assinatura desenvolvido pelo projeto Snort, bem como os conjuntos de regras Emerging Threats e Emerging Threats Pro.
Como instalar o utilitário de segurança Suricata no Ubuntu e derivados
Para instalar o utilitário de segurança Suricata no Ubuntu e ainda poder receber automaticamente as futuras atualizações dele, você deve fazer o seguinte:
Passo 1. Abra um terminal (use as teclas CTRL + ALT + T);
Passo 2. Se ainda não tiver, adicione o repositório do programa com este comando ou use esse tutorial;
sudo add-apt-repository ppa:oisf/suricata-stable
Passo 3. Atualize o gerenciador de pacotes com o comando:
sudo apt-get update
Passo 4. Agora use o comando abaixo para instalar o programa;
sudo apt-get install suricata
Passo 5. No caso de ter o Ubuntu 16.04 ou ter problemas com dependências, o seguinte comando resolve:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Passo 6. Após a instalação, é recomendado desativar qualquer pacote de recursos off-line na NIC que Suricata está ouvindo. Eles podem desabilitar LRO/GRO na interface de rede eth0 usando o seguinte comando:
sudo ethtool -K eth0 gro off lro off
Suricata oferece suporte a vários modos de operação. Podemos ver a lista de todos os modos de execução com o seguinte comando:
sudo /usr/bin/suricata --list-runmodes
O modo de execução padrão usado é autofp, que significa “balanceamento de carga de fluxo fixo automático”. Nesse modo, os pacotes de cada fluxo diferente são atribuídos a um único thread de detecção. Os fluxos são atribuídos aos threads com o menor número de pacotes não processados.
sudo /usr/bin/suricata --list-runmodes
Agora podemos prosseguir para iniciar o Suricata no modo pcap live, usando o seguinte comando:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal
Desinstalando
Para desinstalar o utilitário de segurança Suricata no Ubuntu e derivados, faça o seguinte:
Passo 1. Abra um terminal;
Passo 2. Desinstale o programa, usando os comandos abaixo;
sudo add-apt-repository ppa:oisf/suricata-stable -r -y
sudo apt-get remove suricata --auto-remove