Cara Install Suricata pada AlmaLinux / CentOS 8 / Rocky Linux / Redhat 8

“Cara Install Suricata pada AlmaLinux / CentOS 8 / Rocky Linux / Redhat 8”

Pengantar

Suricata adalah mesin pendeteksi ancaman sumber terbuka independen terbaik. Ini menggabungkan deteksi intrusi (IDS), pencegahan intrusi (IPS), pemantauan keamanan jaringan (NSM) dan pemrosesan PCAP.

Sistem Deteksi Intrusi (IDS) dan Sistem Pencegahan Intrusi (IPS) keduanya membentuk bagian dari infrastruktur jaringan. IDS menganalisis lalu lintas jaringan untuk tanda tangan yang cocok dengan serangan yang diketahui sementara IPS menganalisis paket dan juga memiliki kemampuan untuk menghentikan pengiriman paket tergantung pada serangan terdeteksi. Suricata bekerja dengan mengidentifikasi, menghentikan, dan menilai serangan paling canggih.

Install Suricata Via Source

• update server

sudo dnf update

• Install dependensi

sudo dnf config-manager --set-enabled powertools
sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel

• Download file

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz -P /tmp

• ekstract file

cd /tmp
tar xzf suricata-6.0.3.tar.gz

• Build dan install

cd suricata-6.0.3
./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip 
make
make install-full

Install Suricata Via Repo

• Install epel release

sudo dnf install epel-release

• Cek suricata

sudo dnf info suricata

• Install Suricata

sudo dnf install suricata

Konfigurasi Suricata Rules

• cek list rule

sudo ls /etc/suricata/rules/

• Update suricata

sudo suricata-update

Set Up Suricata IDS / IPS Tool

• cek IP

ip --brief add

• Edit config

nano /etc/suricata/suricata.yaml

vars:
  # more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    HOME_NET: "[192.168.1.48]"
    #HOME_NET: "[192.168.0.0/16]"
    #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"

    EXTERNAL_NET: "!$HOME_NET"
    #EXTERNAL_NET: "any"
...

# Linux high speed capture support
af-packet:
  - interface: enp0s3
...........

...
default-rule-path: /var/lib/suricata/rules

rule-files:
  - suricata.rules
...

• Packet Offloading

sudo ethtool -K <interface> gro off lro off

ethtool -k <interface> | grep -iE "generic|large"

ethtool -K <interface> gro off lro off

Use Suricata IDS / IPS Tool

• Edit file

sudo vi /etc/sysconfig/suricata

# Add options to be passed to the daemon
#OPTIONS="-i eth0 --user suricata "
OPTIONS="-i enp0s3 --user suricata "

• Start service

sudo systemctl enable --now suricata

• Manual running service

sudo suricata -D -c /etc/suricata/suricata.yaml -i enp0s3

• Cek log

sudo tail /var/log/suricata/suricata.log
sudo tail -f /var/log/suricata/fast.log
sudo tail -f /var/log/suricata/stats.log
sudo tail -f /var/log/suricata/eve.json

Test Suricata IDS / IPS Tool

• test

sudo suricata -c /etc/suricata/suricata.yaml -T -v
sudo systemctl restart suricata

• Test DDOS dari OS lain

Install hping3

##For CentOS 8/RHEL 8/Rocky Linux 8

sudo dnf install hping3

### For Debian/Ubuntu

sudo apt install hping3

Attack

sudo hping3 -S -p 22 --flood --rand-source 192.168.1.48

Penutup

Sahabat Blog Learning & Doing demikianlah penjelasan mengenai Cara Install Suricata pada AlmaLinux / CentOS 8 / Rocky Linux / Redhat 8 . Semoga Bermanfaat . Sampai ketemu lagi di postingan berikut nya.