Suricata (IDS/IPS) Temel Yapılandırma

Yapılandırmaya başlamadan önce “root” kullanıcısı veya “super-user” olarak çalıştığınızdan emin olmalısınız. Ubuntu sunucuyu yeni kurduysanız “sudo passwd root” ile root kullanıcısına parola atayabilir, “su” komutu ile “super-user” moduna geçebilirsiniz.

Suricata loglarının tutulacağı klasör oluşturulmalı:
sudo mkdir /var/log/suricata

Sistemi hazırlamak için etc klasörü altında suricata klasörü oluşturulur:

sudo mkdir /etc/suricata

Sonraki adımda classification.config, reference.config ve suricata.yaml dosyalarını /etc/suricata klasörü altına kopyalamak:

sudo cp /usr/local/etc/suricata/classification.config /etc/suricata/

sudo cp /usr/local/etc/suricata/reference.config /etc/suricata/

sudo cp /usr/local/etc/suricata/suricata.yaml /etc/suricata/

 

Değişkenlerin Tanımlanması

“suricata.yaml” dosyasındaki değişkenlerin, adres gruplarının ve port gruplarının ağdaki ihtiyaçlarınıza göre güncellenmesi geremektedir. Kurulum dosyasındaki örnek tanımlamalar aşağıdaki gibidir.

Vars:

address-groups:

   HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]”       #By using [], it is possible to set

                                                                 #complicated variables.

   EXTERNAL_NET: any

   HTTP_SERVERS: “$HOME_NET”                                   #The $-sign tells that what follows is

                                                                 #a variable.

   SMTP_SERVERS: “$HOME_NET”

   SQL_SERVERS: “$HOME_NET”

   DNS_SERVERS: “$HOME_NET”

   TELNET_SERVERS: “$HOME_NET”

   AIM_SERVERS: any

 

port-groups:

HTTP_PORTS: “80”

SHELLCODE_PORTS: “!80”

ORACLE_PORTS: 1521

SSH_PORTS: 22

 

Son olarak ağdaki sunucularınızın işletim sistemlerine göre “host-os-policy” tanımlamalarınızı yapabilirsiniz.

host-os-policy:

windows: [0.0.0.0/0]

bsd: []

bsd_right: []

old_linux: []

linux: [10.0.0.0/8, 192.168.1.100, “8762:2352:6241:7245:E000:0000:0000:0000”]

old_solaris: []

solaris: [“::1”]

hpux10: []

hpux11: []

irix: []

macos: []

vista: []

windows2k3: []

 

Öncesinde log dosyalarının yerinin oluşturduğumuz yeni “/var/log/suricata” olarak güncellenmesi gerekir!

/etc/suricata/suricata.yaml

default-log-dir: /var/log/suricata/

Internet Arayüzlerini “ifconfig” komutu ile görüntüleyebilir ve hangi arayüzü Suricata ile kullanmak istediğinizi seçebilirsiniz.

ifconfig

ifconfig eth0 promisc

komutu ile internet arayüzünü “promiscuous” (dinleme) moduna geçirebilirsiniz.
Saldırı tespit motorunu çalıştırmak ve hatalara karşı denetlemek için –init-errors-fatal parametresi kullanılabilir.

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 –init-errors-fatal

 

Suricata’nın çalıştığını kontrol etmek için log dosyalarına bakabiliriz.

cd /var/log/suricata


http.log
dosyasını son 5 satırını görüntülemek için:

tail –n 5 http.log

10/22/2014-23:59:04.704386 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62100 -> 172.16.3.51:2869

10/22/2014-23:59:04.705191 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62104 -> 172.16.3.51:2869

10/22/2014-23:59:04.706103 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62088 -> 172.16.3.51:2869

10/22/2014-23:59:04.706571 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62096 -> 172.16.3.51:2869

10/22/2014-23:59:04.706687 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62102 -> 172.16.3.51:2869
stats.log dosyasını son 10 satırını görüntülemek için:

tail -n 5 stats.log

http.memuse               | Detect                   | 4824

http.memcap               | Detect                   | 0

detect.alert             | Detect                   | 43

flow_mgr.closed_pruned   | FlowManagerThread         | 0

flow_mgr.new_pruned       | FlowManagerThread        | 24

flow_mgr.est_pruned       | FlowManagerThread         | 0

flow.memuse               | FlowManagerThread         | 7660512

flow.spare               | FlowManagerThread         | 9999

flow.emerg_mode_entered   | FlowManagerThread         | 0

flow.emerg_mode_over     | FlowManagerThread         | 0

 

Kaynak: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup