Como instalar o utilitário de segurança Suricata no Ubuntu e derivados

Se você quer ficar de olho nas ameaças que chegam à sua rede, conheça e veja como instalar o utilitário de segurança Suricata no Ubuntu e derivados.

Suricata é um mecanismo de detecção de ameaças de rede gratuito e de código aberto, maduro, rápido e robusto. Ele é baseado em um conjunto de regras desenvolvido externamente para monitorar o tráfego de rede e fornecer alertas ao administrador do sistema quando ocorrerem eventos suspeitos.

Como instalar o utilitário de segurança Suricata no Ubuntu e derivados
Como instalar o utilitário de segurança Suricata no Ubuntu e derivados

O código-fonte do projeto é distribuído sob a licença GPLv2. O motor Suricata é capaz de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento de pcap offline.

Suricata inspeciona o tráfego de rede usando regras poderosas e extensas e linguagem de assinatura, e tem suporte de script Lua poderoso para detecção de ameaças complexas.

Com formatos de entrada e saída padrão, como YAML e JSON, as integrações com ferramentas como SIEMs existentes, Splunk, Logstash/Elasticsearch, Kibana e outros bancos de dados tornam-se fáceis.

Nas configurações Suricata, é permitido usar o banco de dados de assinatura desenvolvido pelo projeto Snort, bem como os conjuntos de regras Emerging Threats e Emerging Threats Pro.

Como instalar o utilitário de segurança Suricata no Ubuntu e derivados

Para instalar o utilitário de segurança Suricata no Ubuntu e ainda poder receber automaticamente as futuras atualizações dele, você deve fazer o seguinte:

Passo 1. Abra um terminal (use as teclas CTRL + ALT + T);
Passo 2. Se ainda não tiver, adicione o repositório do programa com este comando ou use esse tutorial;

sudo add-apt-repository ppa:oisf/suricata-stable

Passo 3. Atualize o gerenciador de pacotes com o comando:

sudo apt-get update

Passo 4. Agora use o comando abaixo para instalar o programa;

sudo apt-get install suricata

Passo 5. No caso de ter o Ubuntu 16.04 ou ter problemas com dependências, o seguinte comando resolve:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Passo 6. Após a instalação, é recomendado desativar qualquer pacote de recursos off-line na NIC que Suricata está ouvindo. Eles podem desabilitar LRO/GRO na interface de rede eth0 usando o seguinte comando:

sudo ethtool -K eth0 gro off lro off

Suricata oferece suporte a vários modos de operação. Podemos ver a lista de todos os modos de execução com o seguinte comando:

sudo /usr/bin/suricata --list-runmodes

O modo de execução padrão usado é autofp, que significa “balanceamento de carga de fluxo fixo automático”. Nesse modo, os pacotes de cada fluxo diferente são atribuídos a um único thread de detecção. Os fluxos são atribuídos aos threads com o menor número de pacotes não processados.

sudo /usr/bin/suricata --list-runmodes

Agora podemos prosseguir para iniciar o Suricata no modo pcap live, usando o seguinte comando:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Desinstalando

Para desinstalar o utilitário de segurança Suricata no Ubuntu e derivados, faça o seguinte:

Passo 1. Abra um terminal;
Passo 2. Desinstale o programa, usando os comandos abaixo;

sudo add-apt-repository ppa:oisf/suricata-stable -r -y
sudo apt-get remove suricata --auto-remove
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.