Install dan Konfigurasi Suricata di Debian Server - GaniGunawan/Cyber-Security-Suricata GitHub Wiki
Install Suricata dan Konfigurasi Pada Debian Server
-> Install Suricata
Pertama, perbarui repositori dengan perintah berikut:
apt-get update
Selanjutnya, download versi stabil terbaru dari Suricata dari situs. Jika tidak, Anda dapat mengunduhnya langsung dengan perintah berikut:
wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz
Setelah download selesai, ekstrak file yang didownload dengan perintah berikut:
tar -xvzf suricata-3.2.tar.gz
Selanjutnya, Ubah direktori ke suricata-3,2 dan bangun Suricata dengan kemampuan IDS dengan perintah berikut:
cd suricata-3.2
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Selanjutnya, instal Suricata dengan menjalankan perintah berikut:
make
make install
Selanjutnya, instal file konfigurasi default suricata dengan perintah berikut:
make install-conf
-> Konfigurasi Suricata
Suricata tidak berguna tanpa aturan, jadi Anda juga perlu menginstal set aturan Suricata IDS. Anda dapat menginstal semua rangkaian aturan dengan menjalankan perintah berikut di dalam direktori sumber Suricata:
make install-rules
Anda dapat melihat semua set aturan yang terinstal di dalam direktori /etc/suricata/rules:
ls /etc/suricata/rules/
Setelah semua set aturan diinstal, Anda perlu mengkonfigurasi suricata dengan mengedit file /etc/suricata/suricata.yaml:
nano /etc/suricata/suricata.yaml
Di bawah bagian var, Anda akan perlu untuk mengubah beberapa variabel penting seperti HOME_NET dan EXTERNAL_NET. Anda dapat mengubah variabel tersebut sesuai persyaratan infrastruktur Anda:
HOME_NET: "[45.77.246.82]"
EXTERNAL_NET: "!$HOME_NET"
Simpan dan tutup berkas setelah Anda selesai.
Catatan: HOME_NET adalah alamat IP atau blok jaringan jaringan yang ingin Anda Pertahankan dan 45.77.246.82 adalah alamat IP Suricata server. Suricata akan waspada pada serangan ke HOME_NET.
Selanjutnya, buat file Test. Rules di dalam direktori /etc/suricata/rules.
nano /etc/suricata/rules/test.rules
Tambahkan aturan berikut:
alert icmp any any -> $HOME_NET any (msg:"ICMP connection attempt"; sid:1000002; rev:1;)
alert tcp any any -> $HOME_NET 23 (msg:"TELNET connection attempt"; sid:1000003; rev:1;)
Aturan di atas akan menghasilkan peringatan dalam file /var/log/suricata/fast.log ketika seseorang mencoba ping atau Telnet ke server.
Selanjutnya, Anda juga akan perlu menentukan path file aturan ini di suricata.yaml:
nano /etc/suricata/suricata.yaml
Di bawah bagian Rule-Files, tambahkan baris berikut:
- test.rules
Untuk menjalankan Suricata dalam mode hidup dengan menggunakan perintah berikut:
/usr/bin/suricata -D -c /etc/suricata/suricata.yaml -i ens3