Difference between revisions of "Suricata: Konfigurasi Dasar"

From OnnoWiki
Jump to navigation Jump to search
 
(4 intermediate revisions by the same user not shown)
Line 25: Line 25:
 
  ./configure && make && make install-rules
 
  ./configure && make && make install-rules
  
The make install-rules option will do the regular "make install" and it automatically downloads and sets up the latest ruleset from Emerging Threats available for Suricata.
+
Opsi make install-rules akan melakukan "make install" biasa dan secara otomatis mengunduh dan mengatur set aturan terbaru dari Emerging Threats yang tersedia untuk Suricata.
  
 
  ./configure && make && make install-full
 
  ./configure && make && make install-full
  
The make install-full option combines everything mentioned above (install-conf and install-rules) - and will present you with a ready to run (configured and set up) Suricata
+
Opsi make install-full menggabungkan semua yang disebutkan di atas (install-conf dan install-rules) - dan akan memberi Anda Suricata yang siap dijalankan (dikonfigurasi dan diatur)
  
==Setting variables==
+
==Setting variable==
  
Make sure every variable of the vars, address-groups and port-groups in the yaml file is set correctly for your needs. A full explanation is available in the Rule vars section of the yaml. You need to set the ip-address(es) of your local network at HOME_NET. It is recommended to set EXTERNAL_NET to !$HOME_NET. This way, every ip-address but the one set at HOME_NET will be treated as external. It is also possible to set EXTERNAL_NET to 'any', only the recommended setting is more precise and lowers the chance that false positives will be generated. HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS, DNS_SERVERS and TELNET_SERVERS are by default set to HOME_NET. AIM_SERVERS is by default set at 'any'. These variables have to be set for servers on your network. All settings have to be set to let it have a more accurate effect.
+
Pastikan setiap variabel vars, grup alamat, dan grup port dalam file yaml diatur dengan benar untuk kebutuhan Anda. Penjelasan lengkap tersedia di bagian Rule vars dari yaml. Anda perlu menset alamat ip jaringan lokal Anda di HOME_NET. Disarankan untuk mengatur EXTERNAL_NET ke !$HOME_NET. Dengan cara ini, setiap alamat ip kecuali yang ditetapkan di HOME_NET akan diperlakukan sebagai eksternal. Dimungkinkan juga untuk mengatur EXTERNAL_NET ke 'any', hanya pengaturan yang disarankan lebih tepat dan menurunkan kemungkinan false positive akan dihasilkan. HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS, DNS_SERVERS dan TELNET_SERVERS secara default disetel ke HOME_NET. AIM_SERVERS secara default ditetapkan pada 'any'. Variabel ini harus diset untuk server di jaringan Anda. Semua pengaturan harus diatur agar memiliki efek yang lebih akurat.
  
Next, make sure the following ports are set to your needs: HTTP_PORTS, SHELLCODE_PORTS, ORACLE_PORTS and SSH_PORTS.
+
Selanjutnya, pastikan port berikut sudah diatur sesuai kebutuhan Anda: HTTP_PORTS, SHELLCODE_PORTS, ORACLE_PORTS, dan SSH_PORTS.
  
Finally, set the host-os-policy to your needs. See Host OS Policy in the yaml for a full explanation.
+
Terakhir, atur kebijakan host-os sesuai kebutuhan Anda. Lihat Kebijakan Host OS di yaml untuk penjelasan lengkap.
  
 
  windows:[]
 
  windows:[]
Line 53: Line 53:
 
  windows2k3: []
 
  windows2k3: []
  
Note that bug #499 may prevent you from setting old-linux, bsd-right and old-solaris right now.
 
Rule set management and download.
 
  
==Rule Management with Oinkmaster==
 
  
or just download and untar the ruleset in a directory of your choosing (or yaml config setting) from here:
+
==Rule Management dengan Oinkmaster==
 +
 
 +
atau cukup unduh dan hapus aturan di direktori yang Anda pilih (atau pengaturan konfigurasi yaml) dari sini:
 
http://rules.emergingthreats.net/open/suricata/
 
http://rules.emergingthreats.net/open/suricata/
  
or if you prefer you can download and use a VRT ruleset.
+
atau jika mau, Anda dapat mengunduh dan menggunakan kumpulan aturan VRT.
 +
 
 +
Disarankan untuk sering memperbarui aturan Anda. Ancaman yang Muncul diubah setiap hari, VRT diperbarui setiap minggu atau beberapa kali seminggu.
  
It is recommended to update your rules frequently. Emerging Threats is modified daily, VRT is updated weekly or multiple times a week.
 
  
==Interface cards==
+
==Interface==
  
To check the available interface cards, enter:
+
Untuk memeriksa interface yang tersedia, masukkan:
  
ifconfig
+
  ifconfig
  
Now you can see which one you would like Suricata to use.
+
Sekarang Anda dapat melihat Suricata mana yang ingin Anda gunakan.
  
To start the engine and include the interface card of your preference, enter:
+
Untuk menyalakan mesin dan menyertakan interface pilihan Anda, masukkan:
Tests for errors rule Very recommended --init-errors-fatal
+
Tes untuk cek kesalahan sangat disarankan --init-errors-fatal
  
 
  sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal
 
  sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal
 +
sudo suricata -c /etc/suricata/suricata.yaml -i enp0s3 --init-errors-fatal
  
Instead of wlan0, you can enter the interface card of your preference.
+
Kita bisa mengganti wlan0, dengan nama interface yang kita inginkan seperti enp0s3
  
To see if the engine is working correctly and receives and inspects traffic, enter:
+
Untuk melihat apakah mesin bekerja dengan benar dan menerima serta memeriksa lalu lintas, masukkan:
  
cd /var/log/suricata
+
  cd /var/log/suricata
  
Followed by:
+
Diikuti oleh:
  
 
  tail http.log
 
  tail http.log
  
And:
+
Dan:
  
 
  tail -n 50 stats.log
 
  tail -n 50 stats.log
  
To make sure the information displayed is up-dated in real time, use the -f option before http.log and stats.log:
+
Untuk memastikan informasi yang ditampilkan diperbarui secara real time, gunakan opsi -f sebelum http.log dan stats.log:
  
 
  tail -f http.log stats.log
 
  tail -f http.log stats.log
  
 +
==Referensi==
  
 +
* https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
  
 +
==Pranala Menarik==
  
 
+
* [[Suricata]]
==Referensi==
+
* [[Suricata (software)]]
 
+
* [[Suricata: Instalasi di Ubuntu]]
* https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
+
* [[Suricata: Instalasi di Ubuntu 18.04]]
 +
* [[Suricata: Konfigurasi Minimal Ubuntu 18.04]]
 +
* [[Suricata: Test DDoS Attack]]
 +
* [[Suricata: Konfigurasi Dasar]]
 +
* [[Suricata: Manajemen Rule dengan Oinkmaster]]
 +
* [[Suricata: Instalasi Snorby & barnyard2]]

Latest revision as of 16:13, 9 July 2023

Buat directory log Suricata

sudo mkdir /var/log/suricata

Untuk menyiapkan sistem sebelum menggunakannya, tulis

sudo mkdir /etc/suricata

Selanjutnya copy classification.config, reference.config dan suricata.yaml dari directory build/installation ke directory /etc/suricata . Lakukan hal berikut ini.

sudo cp classification.config /etc/suricata
sudo cp reference.config /etc/suricata
sudo cp suricata.yaml /etc/suricata

Catatan: jika anda mempunyai pengalaman dengan Snort dan mempunyai setup Snort, bandingkan Snort.conf ke Suricata.yaml .

Auto setup

Kita juga dapat menggunakan fitur auto setup Suricata:

./configure && make && make install-conf

Ini akan install-conf membuat "make install" regular dan secara automatis create/setup semua directory dan suricata.yaml yang dibutuhkan.

./configure && make && make install-rules

Opsi make install-rules akan melakukan "make install" biasa dan secara otomatis mengunduh dan mengatur set aturan terbaru dari Emerging Threats yang tersedia untuk Suricata.

./configure && make && make install-full

Opsi make install-full menggabungkan semua yang disebutkan di atas (install-conf dan install-rules) - dan akan memberi Anda Suricata yang siap dijalankan (dikonfigurasi dan diatur)

Setting variable

Pastikan setiap variabel vars, grup alamat, dan grup port dalam file yaml diatur dengan benar untuk kebutuhan Anda. Penjelasan lengkap tersedia di bagian Rule vars dari yaml. Anda perlu menset alamat ip jaringan lokal Anda di HOME_NET. Disarankan untuk mengatur EXTERNAL_NET ke !$HOME_NET. Dengan cara ini, setiap alamat ip kecuali yang ditetapkan di HOME_NET akan diperlakukan sebagai eksternal. Dimungkinkan juga untuk mengatur EXTERNAL_NET ke 'any', hanya pengaturan yang disarankan lebih tepat dan menurunkan kemungkinan false positive akan dihasilkan. HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS, DNS_SERVERS dan TELNET_SERVERS secara default disetel ke HOME_NET. AIM_SERVERS secara default ditetapkan pada 'any'. Variabel ini harus diset untuk server di jaringan Anda. Semua pengaturan harus diatur agar memiliki efek yang lebih akurat.

Selanjutnya, pastikan port berikut sudah diatur sesuai kebutuhan Anda: HTTP_PORTS, SHELLCODE_PORTS, ORACLE_PORTS, dan SSH_PORTS.

Terakhir, atur kebijakan host-os sesuai kebutuhan Anda. Lihat Kebijakan Host OS di yaml untuk penjelasan lengkap.

windows:[]
bsd: [] 
bsd-right: [] 
old-linux: [] 
linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"] 
old-solaris: [] 
solaris: ["::1"] 
hpux10: [] 
hpux11: [] 
irix: [] 
macos: [] 
vista: [] 
windows2k3: []


Rule Management dengan Oinkmaster

atau cukup unduh dan hapus aturan di direktori yang Anda pilih (atau pengaturan konfigurasi yaml) dari sini: http://rules.emergingthreats.net/open/suricata/

atau jika mau, Anda dapat mengunduh dan menggunakan kumpulan aturan VRT.

Disarankan untuk sering memperbarui aturan Anda. Ancaman yang Muncul diubah setiap hari, VRT diperbarui setiap minggu atau beberapa kali seminggu.


Interface

Untuk memeriksa interface yang tersedia, masukkan:

 ifconfig

Sekarang Anda dapat melihat Suricata mana yang ingin Anda gunakan.

Untuk menyalakan mesin dan menyertakan interface pilihan Anda, masukkan: Tes untuk cek kesalahan sangat disarankan --init-errors-fatal

sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal
sudo suricata -c /etc/suricata/suricata.yaml -i enp0s3 --init-errors-fatal

Kita bisa mengganti wlan0, dengan nama interface yang kita inginkan seperti enp0s3

Untuk melihat apakah mesin bekerja dengan benar dan menerima serta memeriksa lalu lintas, masukkan:

 cd /var/log/suricata

Diikuti oleh:

tail http.log

Dan:

tail -n 50 stats.log

Untuk memastikan informasi yang ditampilkan diperbarui secara real time, gunakan opsi -f sebelum http.log dan stats.log:

tail -f http.log stats.log

Referensi

Pranala Menarik