Ubuntu Sunucu Üzerine Suricata IDS/IPS Kurulumu

tarihinde gönderilmiş tarafından

Suricata kurulumunu yapacağımız Ubuntu Server sürümü 14.04.01 (ubuntu-14.04.1-server-amd64.iso).

İlk olarak Ubuntu Server kurulumu yaptıysanız, kurulumdan sonra güncellemek için aşağıdaki komutları çalıştırabilirsiniz.

sudo apt-get check

sudo apt-get upgrade

İsterseniz, masaüstü uygulamasını aşağıdaki komut ile kurabilirsiniz.

sudo apt-get install ubunutu-desktop

Suricata kurmadan önce gerekli diğer paketlerin kurulması

Aşağıdaki komut ile gerekli tüm paketlerin kurulması sağlanır.

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \

build-essential autoconf automake libtool libpcap-dev libnet1-dev \

libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \

make libmagic-dev

IPS
Varsayılan olarak IDS olarak kurulan Suricata’yı IDS ve IPS olarak kullanmak için aşağıdaki paketleri kurmalısınız.

sudo apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0

Suricata Kurulumu

Suricata’yı önce indirmek sonra da sıkıştırılmış dosyanın açılmasını sağlamak için:

wget http://www.openinfosecfoundation.org/download/suricata-2.0.3.tar.gz

tar -xvzf suricata-2.0.3.tar.gz

cd suricata-2.0.3

Derlemek ve IDS/IPS motorunu kurmak için

IPS özellikli Suricata kurmak için:

./configure –enable-nfqueue –prefix=/usr –sysconfdir=/etc –localstatedir=/var

Sadece IDS özellikli suricata kurmak için:

./configure –prefix=/usr –sysconfdir=/etc –localstatedir=/var

Daha sonra kurulum paketlerini hazırlamak için:

./configure –prefix=/usr –sysconfdir=/etc –localstatedir=/var

make

sudo make install

sudo ldconfig

Otomatik Kurulum için

./configure && make && make install-conf

make install-conf
ile normal kurulum yapılır, tüm gerekli klasörler kurulum ve suricata.yaml dosyası oluşturulur.

./configure && make && make install-rules

make install-rules
ile normal kurulum yapılır ve otomatik olarak en güncel Emerging Threats kural seti indirilir.

./configure && make && make install-full

make install-full
ile yukarıdaki iki farklı kurulum birleştirilerek çalışmaya hazır bir Suricata kurulumu yapılır.

Kurulum Tamamlandığında aşağıdaki mesaj verilir.

You can now start suricata by running as root something like ‘/usr/local/bin/suricata -c /usr/local/etc/suricata//suricata.yaml -i eth0’.

If a library like libhtp.so is not found, you can run suricata with:

‘LD_LIBRARY_PATH=/usr/local/lib /usr/local/bin/suricata -c /usr/local/etc/suricata//suricata.yaml -i eth0’.

While rules are installed now, it’s highly recommended to use a rule manager for maintaining rules.

The two most common are Oinkmaster and Pulledpork. For a guide see:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Rule_Management_with_Oinkmaster

Bundan sonra Suricata kurulumuna Temel Yapılandırma ile devam etmelisiniz.

Kaynak: https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation