Suricata: Konfigurasi Dasar
Buat directory log Suricata
sudo mkdir /var/log/suricata
Untuk menyiapkan sistem sebelum menggunakannya, tulis
sudo mkdir /etc/suricata
Selanjutnya copy classification.config, reference.config dan suricata.yaml dari directory build/installation ke directory /etc/suricata . Lakukan hal berikut ini.
sudo cp classification.config /etc/suricata sudo cp reference.config /etc/suricata sudo cp suricata.yaml /etc/suricata
Catatan: jika anda mempunyai pengalaman dengan Snort dan mempunyai setup Snort, bandingkan Snort.conf ke Suricata.yaml .
Auto setup
Kita juga dapat menggunakan fitur auto setup Suricata:
./configure && make && make install-conf
Ini akan install-conf membuat "make install" regular dan secara automatis create/setup semua directory dan suricata.yaml yang dibutuhkan.
./configure && make && make install-rules
Opsi make install-rules akan melakukan "make install" biasa dan secara otomatis mengunduh dan mengatur set aturan terbaru dari Emerging Threats yang tersedia untuk Suricata.
./configure && make && make install-full
Opsi make install-full menggabungkan semua yang disebutkan di atas (install-conf dan install-rules) - dan akan memberi Anda Suricata yang siap dijalankan (dikonfigurasi dan diatur)
Setting variable
Pastikan setiap variabel vars, grup alamat, dan grup port dalam file yaml diatur dengan benar untuk kebutuhan Anda. Penjelasan lengkap tersedia di bagian Rule vars dari yaml. Anda perlu menset alamat ip jaringan lokal Anda di HOME_NET. Disarankan untuk mengatur EXTERNAL_NET ke !$HOME_NET. Dengan cara ini, setiap alamat ip kecuali yang ditetapkan di HOME_NET akan diperlakukan sebagai eksternal. Dimungkinkan juga untuk mengatur EXTERNAL_NET ke 'any', hanya pengaturan yang disarankan lebih tepat dan menurunkan kemungkinan false positive akan dihasilkan. HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS, DNS_SERVERS dan TELNET_SERVERS secara default disetel ke HOME_NET. AIM_SERVERS secara default ditetapkan pada 'any'. Variabel ini harus diset untuk server di jaringan Anda. Semua pengaturan harus diatur agar memiliki efek yang lebih akurat.
Selanjutnya, pastikan port berikut sudah diatur sesuai kebutuhan Anda: HTTP_PORTS, SHELLCODE_PORTS, ORACLE_PORTS, dan SSH_PORTS.
Terakhir, atur kebijakan host-os sesuai kebutuhan Anda. Lihat Kebijakan Host OS di yaml untuk penjelasan lengkap.
windows:[] bsd: [] bsd-right: [] old-linux: [] linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"] old-solaris: [] solaris: ["::1"] hpux10: [] hpux11: [] irix: [] macos: [] vista: [] windows2k3: []
Rule Management dengan Oinkmaster
atau cukup unduh dan hapus aturan di direktori yang Anda pilih (atau pengaturan konfigurasi yaml) dari sini: http://rules.emergingthreats.net/open/suricata/
atau jika mau, Anda dapat mengunduh dan menggunakan kumpulan aturan VRT.
Disarankan untuk sering memperbarui aturan Anda. Ancaman yang Muncul diubah setiap hari, VRT diperbarui setiap minggu atau beberapa kali seminggu.
Interface
Untuk memeriksa interface yang tersedia, masukkan:
ifconfig
Sekarang Anda dapat melihat Suricata mana yang ingin Anda gunakan.
Untuk menyalakan mesin dan menyertakan interface pilihan Anda, masukkan: Tes untuk cek kesalahan sangat disarankan --init-errors-fatal
sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal sudo suricata -c /etc/suricata/suricata.yaml -i enp0s3 --init-errors-fatal
Kita bisa mengganti wlan0, dengan nama interface yang kita inginkan seperti enp0s3
Untuk melihat apakah mesin bekerja dengan benar dan menerima serta memeriksa lalu lintas, masukkan:
cd /var/log/suricata
Diikuti oleh:
tail http.log
Dan:
tail -n 50 stats.log
Untuk memastikan informasi yang ditampilkan diperbarui secara real time, gunakan opsi -f sebelum http.log dan stats.log:
tail -f http.log stats.log