Suricata – interesujący, darmowy IDS dla CentOS cz. 1 – instalacja

Dzisiaj kolejny już raz chciałbym poruszyć kwestie dotyczące bezpieczeństwa systemów informatycznych. Niezwykle istotne jest szybkie wykrywanie i reagowanie na wszelkie incydenty związane z naszymi zasobami. Nie jesteśmy jednak w stanie non stop przeglądać i analizować logów w poszukiwaniu zagrożenia. Od tego jest oprogramowanie takie jak Suricata.

Jest ono w stanie dostarczyć szerokie spektrum informacji na temat potencjalnych problemów związanych z bezpieczeństwem. Przystąpmy do jego instalacji:

yum install epel-release wget perl perl-Crypt-SSLeay perl-libwww-perl perl-Sys-Syslog perl-LWP-Protocol-https

yum install suricata

cd /etc/suricata

Następnie pobieramy i wgrywamy dodatkowe regułki dla naszego IDS-a.

wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

tar xvsf emerging.rules.tar.gz

chown suricata rules/ -R

vim /etc/suricata/suricata.yaml[/php]
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
Zamiast domyślnych IP w configu, wpisujemy IP naszego publicznego interfejsu (tego, którego chcemy monitorować). Następnie zapisujemy i uruchamiamy suricate.

systemctl start suricata

Logi znajdziemy w katalogu „/var/log/suricata”. Aby sprawdzić czy udało się nam uruchomić omawiany system zabezpieczeń, proszę po zalogowaniu nasz serwer wydać komendę: curl -A „BlackSun” centos.com.pl W pliku „/var/log/suricata/fast.log” powinniśmy znaleźć podobny wpis to tego poniżej:
04/30/2017-00:16:36.317226 [**] [1:2008983:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 91.124.184.121:38628 -> 37.187.223.14:80
Jeśli tak się stało, „jesteśmy w domu” 🙂