Instal Suricata dan konfigurasi pada Debian Server - lutvita/UAS_Doc GitHub Wiki

Instal Suricata

Update repositori dengan perintah berikut:

apt-get update

Download versi stabil terbaru dari Suricata dari situs. Jika tidak, Anda dapat mengunduhnya langsung dengan perintah berikut:

wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz

Ekstrak file yang didownload dengan perintah berikut:

tar -xvzf suricata-3.2.tar.gz

Ubah direktori ke suricata-3,2 dan bangun Suricata dengan kemampuan IDS dengan perintah berikut:

cd suricata-3.2 ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

Instal Suricata dengan menjalankan perintah berikut:

make

make install

Instal file konfigurasi default suricata dengan perintah berikut:

make install-conf

Konfigurasi Suricata Suricata tidak berguna tanpa aturan, jadi Anda juga perlu menginstal set aturan Suricata IDS. Anda dapat menginstal semua rangkaian aturan dengan menjalankan perintah berikut di dalam direktori sumber Suricata:

make install-rules

Anda dapat melihat semua set aturan yang terinstal di dalam direktori /etc/suricata/rules:

ls /etc/suricata/rules/

Setelah semua set aturan diinstal, Anda perlu mengkonfigurasi suricata dengan mengedit file /etc/suricata/suricata.yaml:

nano /etc/suricata/suricata.yaml

Di bawah bagian var, Anda akan perlu untuk mengubah beberapa variabel penting seperti HOME_NET dan EXTERNAL_NET. Anda dapat mengubah variabel tersebut sesuai persyaratan infrastruktur Anda:

HOME_NET: "[45.77.246.82]" EXTERNAL_NET: "!$HOME_NET"

Simpan dan tutup berkas setelah Anda selesai.

Catatan: HOME_NET adalah alamat IP atau blok jaringan jaringan yang ingin Anda Pertahankan dan 45.77.246.82 adalah alamat IP Suricata server. Suricata akan waspada pada serangan ke HOME_NET.

Selanjutnya, buat file Test. Rules di dalam direktori /etc/suricata/rules

nano /etc/suricata/rules/test.rules

Tambahkan aturan berikut:

alert icmp any any -> $HOME_NET any (msg:"ICMP connection attempt"; sid:1000002; rev:1;) alert tcp any any -> $HOME_NET 23 (msg:"TELNET connection attempt"; sid:1000003; rev:1;)

Aturan di atas akan menghasilkan peringatan dalam file /var/log/suricata/fast.log ketika seseorang mencoba ping atau Telnet ke server.

Selanjutnya, Anda juga akan perlu menentukan path file aturan ini di suricata.yaml:

nano /etc/suricata/suricata.yaml

Di bawah bagian Rule-Files, tambahkan baris berikut:

- test.rules Untuk menjalankan Suricata dalam mode hidup dengan menggunakan perintah berikut:

/usr/bin/suricata -D -c /etc/suricata/suricata.yaml -i ens3