Descripción: Instalación y configuración de Suricata en Debian y derivados
Publicado el 22/2/2022
Escrito por Nicolas Riquelme
Suricata es un sistema de detección de intrusos de red (IDS) de alta velocidad y de código abierto que puede analizar el tráfico de red en busca de amenazas de seguridad. En este tutorial, se explicará cómo instalar y configurar Suricata en un sistema basado en Debian.
Lo primero que hay que hacer es instalar Suricata. Para ello, abrimos una terminal y ejecutamos los siguientes comandos:
sudo apt update && sudo apt upgrade -y\nsudo apt install suricata -y
Esto actualizará la lista de paquetes y luego instalará Suricata junto con sus dependencias.
Una vez que se ha instalado Suricata, es necesario configurarlo para que
pueda analizar el tráfico de red y detectar posibles amenazas de
seguridad. Para ello, se debe editar el archivo de configuración
principal de Suricata, que se encuentra en
/etc/suricata/suricata.yaml
.
Para hacerlo, abrimos una terminal yejecutamos el siguiente comando:
sudo nvim /etc/suricata/suricata.yaml
Este comando abrirá el archivo de configuración de Suricata en nuestro editor de texto de cabecera. Una vez abierto, los creadores han tenido a bien ordenar paso por paso la configuración, por lo que leyendo de arriba a abajo, deberíamos ser capaces de configurarlo todo sin dejarnos nada por el camino.
En el archivo de configuración de Suricata, veremos que el primer paso consiste en decirle a Suricata “cuales son sus dominios”, es decir, cómo tenemos estructurada la red.
En este paso le indicaremos lo que queremos hacer con los logs que genere (la frecuencia, ubicaciones, protocolos a vigilar, etc…). Para un uso doméstico y por aquello de estar en una Raspi, lo dejaremos tal y como está, ya que en principio y si todo va bien, no le vamos a dar un uso intensivo; en cambio, de instalarlo en la red del laboratorio para hacer pruebas y ponerlo a prueba, ya sería otra historia.
En este paso, lo primero que se debe especificar la interfaz de red que
se utilizará para analizar el tráfico. Esto se hace en la sección
af-packet
.
Busca la siguiente línea:
# - interface: eth0
Descomenta la línea eliminando el símbolo #
y cambia eth0
por el
nombre de la interfaz de red que desees utilizar.
Por ejemplo, si deseas utilizar la interfaz eth1
, que no es mi caso,
la línea debería quedar de la siguiente manera:
- interface: eth1
El título es bastante descriptivo, seleccionaremos los protocolos que deberán ser auditados en todo momento. La lista es extensa y no hay mucho misterio ya que el archivo de configuración viene con toda la información necesaria en forma de comentarios.
Llegados a este punto, sólo cabe señalar que si disponemos de VLANs u
otras configuraciones avanzadas, esta sección muy posiblemente cubra las
necesidades para mantenerla vigilada con garantías. Incluye
configuración de las capturas, optimizaciones varias del motor de
Suricata, configuraciones específicas para VLANs, etc… Suricata
utiliza reglas de detección para identificar posibles amenazas de
seguridad. Estas reglas se encuentran en archivos .rules
que se
encuentran en el directorio /etc/suricata/rules/
.
Para descargar las reglas más recientes, ejecuta el siguiente comando:
sudo suricata-update
Una vez que se hayan descargado las reglas, se deben agregar al archivo de configuración deSuricata para que se utilicen durante el análisis de tráfico.
En el archivo de configuración de Suricata
(/etc/suricata/suricata.yaml
), busca la sección rule-files
.
Asegúrate de que la siguiente línea esté descomentada:
default-rule-path: /etc/suricata/rules\n\nrule-files:\n - *.rules
Esto permitirá que Suricata utilice todas las reglas de detección que se
encuentren en el directorio /etc/suricata/rules/
.
Una vez que se ha configurado Suricata, se puede iniciar el servicio para que comience a analizar el tráfico de red en busca de amenazas.
Para iniciar Suricata, ejecuta el siguiente comando:
sudo service suricata start
Si deseas verificar el estado de Suricata, puedes ejecutar el siguiente comando:
sudo service suricata status
En este tutorial, se ha explicado cómo instalar y configurar de manera muy básica Suricata en un sistema basado en Debian. Ahora, Suricata está listo para analizar el tráfico de red y detectar posibles amenazas de seguridad en el sistema.
Es importante recordar que Suricata es una herramienta poderosa que puede generar muchos registros y alertas, por lo que es importante revisarlos y analizarlos regularmente para asegurarse de que no se estén pasando por alto amenazas de seguridad importantes. Además, se puede considerar la configuración de alertas por correo electrónico o integración con otras herramientas de seguridad para mejorar la eficacia de Suricata en la detección de amenazas de seguridad.
Referencias: