MODULO DE INSTALACION DE SURICATA EN UBUNTU

MANUAL DE USO DE SURICATA

Suricata se basa en el sistema Snort IDS , con una serie de mejoras. Suricata realiza
análisis de subprocesos múltiples, decodifica de forma nativa flujos de red y ensambla
archivos de flujos de red sobre la marcha.
Está basado en un conjunto de reglas desarrolladas externamente para supervisar el
tráfico de la red y proporcionar alertas al administrador del sistema cuando se producen
eventos sospechosos. Diseñada para ser compatible con los componentes de seguridad
de red existentes, ofrece funcionalidad de salida unificada y opciones de biblioteca
conectables para aceptar llamadas de otras aplicaciones. Como un motor de múltiples
hilos, ofrece una mayor velocidad y eficiencia en el análisis de tráfico de red.
Requisitos previos para instalar Suricata.
Tener instalado Ubuntu con una versión actual.
Para la correcta instalación de Suricata en Ubuntu será necesario lo siguiente:
• Contar con permisos de usuario root.
Existen dos formas de instalar Suricata
  Instalando desde la fuente
 Instalación desde el repositorio de PPA
Vamos a proceder a instalar desde el repositorio de PPA
Abrir el terminar en modo root
Tecleamos los siguientes comandos:
1.- apt-get install suricata
(El código fuente de Suricata viene con archivos de configuración por defecto. Vamos a
instalar estos archivos de configuración por defecto de la siguiente manera.)

2.- Se procede a buscar he instalar los paquetes nuevos, como el puerto esta hecho
puente con la tarjeta Wireless procede a descargarse los nuevos paquetes en internet
Se Tiene en cuenta que dependiendo de su tarjeta de red, es posible que aparezca el
siguiente mensaje de advertencia, que puede pasar por alto.

3.- Ahora es el momento de configurar Suricata. El archivo de configuración se encuentra

en ‘/etc/suricata/suricata.yaml’.
4.- Verificamos la ip de la tarjeta de red que nos da en este caso es la 192.168.0.130
La regla básicamente se dispara cuando hay 100 intentos de conexión a la red local en
10 segundo.
En este ejemplo, estamos monitoreando una interfaz eth0 red en un sistema de 8
núcleos.
Como puede observarse, Suricata crea 13 hilos de procesamiento de paquetes y 3 hilos
de gestión.
Los hilos de procesamiento de paquetes consisten en un hilo PCAP captura de paquetes,
y 12 detectan hilos (igual a 8 * 1.5).
Esto significa que los paquetes capturados por un hilo de captura son de equilibrio de
carga de 12 hilos para detectar IDS.
Los hilos de gestión son un gestor de flujo y dos contadores / Estadísticas hilos
relacionados.
El modo de ejecución predeterminado utilizado es autofp significa «balanceo
automático de carga de flujo fijo».
En este modo, los paquetes de cada flujo distinto se asignan a un solo hilo de detección.
Los flujos se asignan a los subprocesos con el número más bajo de paquetes no
procesados.
A continuación enumeraré algunos de los puntos clave de este sistema de detección de
intrusiones avanzado:
Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un
núcleo de la CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y
multi-threading. Existen benchmarks que demuestran una considerable diferencia de
rendimiento.
Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar
tráfico de red.
Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es posible
capturarlo y estudiarlo desde Suricata.
LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo combinar
varias reglas, para buscar elementos con mayor eficiencia.
Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede
revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP…