suricata-logo

Suricata es un motor de red de alto rendimiento IDS (Intrusion Detection System), IPS y seguridad de red, desarrollado por el OISF, esta es una aplicación de código abierto multiplataforma y es propiedad de una fundación sin ánimo de lucro de la comunidad Open Information Security Foundation (OISF).

Está basado en un conjunto de reglas desarrolladas externamente para supervisar el tráfico de la red y proporcionar alertas al administrador del sistema cuando se producen eventos sospechosos. Diseñada para ser compatible con los componentes de seguridad de red existentes, ofrece funcionalidad de salida unificada y opciones de biblioteca conectables para aceptar llamadas de otras aplicaciones. Como un motor de múltiples hilos, ofrece una mayor velocidad y eficiencia en el análisis de tráfico de red.

Actualmente se encuentra en su versión 4.0 con mejoras en las capacidades de detección de intrusos y también en el soporte de más protocolos y opciones, mejorando en el motor de flujo TCP y su IDS.

¿Cómo instalar Suricata en Ubuntu?

Como les comentaba cuenta con soporte para diferentes sistemas operativos y Ubuntu no es la excepción, cuenta con un repositorio oficial el cual lo podemos agregar y poder realizar la instalación en nuestro sistema, basta con teclear los siguientes comandos:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

En caso de tener Ubuntu 16.04 o tener problemas con las dependecias, con el siguiente comando se soluciona:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Hecha la instalación, se recomienda desactivar cualquier paquete de funciones offloead en el NIC que Suricata está escuchando.

Pueden desactivar LRO/GRO en la interfaz de red eth0 utilizando el siguiente comando:

sudo ethtool -K eth0 gro off lro off

Suricata soporta una serie de modos de funcionamiento. Podemos ver la lista de todos los modos de ejecución con el siguiente comando:

sudo /usr/bin/suricata --list-runmodes

Suricata-Running

Suricata-Running

El modo de ejecución predeterminado utilizado es autofp significa “balanceo automático de carga de flujo fijo”. En este modo, los paquetes de cada flujo distinto se asignan a un solo hilo de detección. Los flujos se asignan a los subprocesos con el número más bajo de paquetes no procesados.

Ahora podemos proceder a iniciar Suricata en modo pcap live , usando el siguiente comando:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Si deseas conocer un poco mas afondo sobre las opciones que nos ofrece Suricata te dejo este enlace donde puedes revisar todo sobre este increíble software.

 

Fuente: ubunlog

¿Quién está en línea?

Hay 27829 invitados y ningún miembro en línea