Suricata (IDS/IPS) Temel Yapılandırma
Yapılandırmaya başlamadan önce “root” kullanıcısı veya “super-user” olarak çalıştığınızdan emin olmalısınız. Ubuntu sunucuyu yeni kurduysanız “sudo passwd root” ile root kullanıcısına parola atayabilir, “su” komutu ile “super-user” moduna geçebilirsiniz.
Suricata loglarının tutulacağı klasör oluşturulmalı:
sudo mkdir /var/log/suricata
Sistemi hazırlamak için etc klasörü altında suricata klasörü oluşturulur:
sudo mkdir /etc/suricata
Sonraki adımda classification.config, reference.config ve suricata.yaml dosyalarını /etc/suricata klasörü altına kopyalamak:
sudo cp /usr/local/etc/suricata/classification.config /etc/suricata/
sudo cp /usr/local/etc/suricata/reference.config /etc/suricata/
sudo cp /usr/local/etc/suricata/suricata.yaml /etc/suricata/
Değişkenlerin Tanımlanması
“suricata.yaml” dosyasındaki değişkenlerin, adres gruplarının ve port gruplarının ağdaki ihtiyaçlarınıza göre güncellenmesi geremektedir. Kurulum dosyasındaki örnek tanımlamalar aşağıdaki gibidir.
Vars:
address-groups:
HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]” #By using [], it is possible to set
#complicated variables.
EXTERNAL_NET: any
HTTP_SERVERS: “$HOME_NET” #The $-sign tells that what follows is
#a variable.
SMTP_SERVERS: “$HOME_NET”
SQL_SERVERS: “$HOME_NET”
DNS_SERVERS: “$HOME_NET”
TELNET_SERVERS: “$HOME_NET”
AIM_SERVERS: any
port-groups:
HTTP_PORTS: “80”
SHELLCODE_PORTS: “!80”
ORACLE_PORTS: 1521
SSH_PORTS: 22
Son olarak ağdaki sunucularınızın işletim sistemlerine göre “host-os-policy” tanımlamalarınızı yapabilirsiniz.
host-os-policy:
windows: [0.0.0.0/0]
bsd: []
bsd_right: []
old_linux: []
linux: [10.0.0.0/8, 192.168.1.100, “8762:2352:6241:7245:E000:0000:0000:0000”]
old_solaris: []
solaris: [“::1”]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []
Öncesinde log dosyalarının yerinin oluşturduğumuz yeni “/var/log/suricata” olarak güncellenmesi gerekir!
/etc/suricata/suricata.yaml
default-log-dir: /var/log/suricata/
Internet Arayüzlerini “ifconfig” komutu ile görüntüleyebilir ve hangi arayüzü Suricata ile kullanmak istediğinizi seçebilirsiniz.
ifconfig
ifconfig eth0 promisc
komutu ile internet arayüzünü “promiscuous” (dinleme) moduna geçirebilirsiniz.
Saldırı tespit motorunu çalıştırmak ve hatalara karşı denetlemek için –init-errors-fatal parametresi kullanılabilir.
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 –init-errors-fatal
Suricata’nın çalıştığını kontrol etmek için log dosyalarına bakabiliriz.
cd /var/log/suricata
http.log dosyasını son 5 satırını görüntülemek için:
tail –n 5 http.log
10/22/2014-23:59:04.704386 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62100 -> 172.16.3.51:2869
10/22/2014-23:59:04.705191 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62104 -> 172.16.3.51:2869
10/22/2014-23:59:04.706103 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62088 -> 172.16.3.51:2869
10/22/2014-23:59:04.706571 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62096 -> 172.16.3.51:2869
10/22/2014-23:59:04.706687 172.16.3.51 [**] /upnphost/udhisapi.dll?content=uuid:3ee3724f-0890-4f84-b02d-b5a5e671c164 [**] Microsoft-Windows/6.3 UPnP/1.0 [**] 172.16.3.74:62102 -> 172.16.3.51:2869
stats.log dosyasını son 10 satırını görüntülemek için:
tail -n 5 stats.log
http.memuse | Detect | 4824
http.memcap | Detect | 0
detect.alert | Detect | 43
flow_mgr.closed_pruned | FlowManagerThread | 0
flow_mgr.new_pruned | FlowManagerThread | 24
flow_mgr.est_pruned | FlowManagerThread | 0
flow.memuse | FlowManagerThread | 7660512
flow.spare | FlowManagerThread | 9999
flow.emerg_mode_entered | FlowManagerThread | 0
flow.emerg_mode_over | FlowManagerThread | 0
Kaynak: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup