Suricata es un motor de monitoreo de seguridad de red, IPS e IDS de red de alto rendimiento. Es una herramienta de código abierto propiedad y desarrollada por OISF (Open Information Security Foundation).

Suricata es más que un IDS, básicamente se trata de un motor de red de código abierto y multiplataforma de alto rendimiento que combina las tecnologías IDS (Intrusion Detection System), IPS (Intrusion Prevention System) y NSM (Network Security Monitoring), que fue lanzado en el año 2009 y es desarrollado por la comunidad OISF (Open Information Security Foundation).

1. Instalación de Suricata

$ systemctl status suricata

Listo! Ya tenemos a suricata activo!

2. Configuración Básica de Suricata

Primero necesitamos verificar nuestra interfaz de red, que suricata va utiliza para el monitoreo de la red.

Para verificar nuestra interfaz de red, podemos hacer lo siguiente, ejecutamos el comando:

$ ip addr

en nuestro caso la interfaz de red es => enp0s3

Por otro lado podemos ver la configuración en el archivo: /etc/netplan/01-netcfg.yaml

La opción mas simple es:

$ sudo suricata-update

Simplemente ejecutamos el modo predeterminado que obtiene el conjunto de reglas de ETOpen (Emerging Threats open — Ruleset)

Las reglas se instalan en /var/lib/suricata/rules, que también es el predeterminado en la configuración y utiliza el único archivo suricata.rules.

El primer comando asegura que la lista esté actualizada y el segundo muestra la lista. Cada uno de los conjuntos de reglas tiene un nombre que tiene un prefijo de "proveedor", seguido de un nombre de conjunto. Por ejemplo, el conjunto de reglas de identificación de tráfico de OISF se llama "oisf / trafficid".

sudo suricata-update update-sources

sudo suricata-update list-sources

Para habilitar "oisf/trafficid" escribe:

sudo suricata-update enable-source oisf/trafficid

sudo suricata-update

Habilita los siguientes conjuntos de reglas de la misma manera: 

• sslbl/ssl-fp-blacklist
• ptresearch/attackdetection

sudo suricata-update enable-source sslbl/ssl-fp-blacklist

sudo suricata-update enable-source ptresearch/attackdetection

Para ver las listas habilitadas:

sudo suricata-update list-enabled-sources

La respuesta debería ser:

Enabled sources:

- oisf/trafficid

- et/open

- sslbl/ssl-fp-blacklist

- ptresearch/attackdetection

Y por último 

suricata-update

Para deshabilitar:

suricata-update disable-source et/pro 

O para eliminar:

suricata-update remove-source et/pro 

Gestionar las reglas de Suricata

La eficacia de IDS Suricata se basa en una buena gestión de las reglas. Es necesario tanto para evitar falsos positivos como para asegurar que las reglas utilizadas estén actualizadas y permitan la detección de amenazas recientes.

Las reglas de Suricata activadas por defecto generan muchos falsos positivos (alertas que no son problemas reales). Recomiendo dejar que Suricata se ejecute durante unas horas usando su equipo normalmente y analizar cuidadosamente las alertas en el archivo fast.log y deshabilitar ciertas reglas. Por ejemplo, si utiliza Dropbox o Skype en su red, deberá desactivar las reglas correspondientes para no generar alertas innecesarias para su red.

Para aumentar la seguridad de sus instalaciones, es posible que también deba agregar nuevas fuentes de reglas o crear sus propias reglas.

• Action: corresponde con la acción (drop, alert, etc.) que realizará Suricata cuando se identifica la regla en el flujo de red.
• Header: esta sección corresponde al flujo de red en concreto que se va a analizar. De origen a destino. Con la palabra “any” podemos indicarle a Suricata que se analizarán todos los puertos.
• Rule: regla a implementar para detectar en nuestro caso el malware. Dentro de este campo existen palabras claves que nos ayuda a crear nuestra regla:
  • Msg: mensaje de alerta que emitirá Suricata.
  • flow: flujo de red.
  • Content: contiene la cadena de caracteres que se debe buscar dentro del tráfico.
  • Reference: contiene referencias, en este caso colocamos un hash MD5 de verificación de una muestra de Trickbot.
  • Sid: ID de la regla identificada.
  • Rev: versión de la regla.
  • Classtype: brinda información sobre la clasificación de las reglas y alertas.

Veremos cómo manejar esto en los siguientes capítulos.

Formato de reglas

•     Action (drop, alert, or pass)
•     Header (protocol, ip address(es), ports)
•     Options (additional qualification values to determine if the packet/flow/whatever match)

Cada regla de Suricata se compone de la siguiente manera:

 opciones de encabezado de   acción

• La acción corresponde a la acción realizada en caso de detección (alerta, caída, pase, etc.).
• El encabezado sirve para definir el protocolo (tcp, http, ftp, dns, tls…) así como la dirección IP y el puerto de origen y destino del tráfico involucrado en la alerta.
• Las opciones de la regla se muestran entre paréntesis y separadas por comas. Algunas opciones tienen parámetros, que se especifican mediante su palabra clave seguida de dos puntos y el valor del parámetro.

Las reglas se identifican por su identificador de firma, el parámetro sid .

Por ejemplo, aquí está la regla 2012647 para usar Dropbox:

# alert tls

[108.160.162.0/20,162.125.0.0/16,192.189.200.0/23,199.47.216.0/22,205.189.0.0/24,209.99.70.0/24,45.58.64.0/20] 443 -> $HOME_NET any (msg:"ET POLICY Dropbox.com Offsite File Backup in Use"; flow:established,from_server; content:"|55 04 03|"; content:"|0d|*.dropbox.com"; distance:1; within:14; threshold: type limit, count 1, seconds 300, track by_src; reference:url,www.dropbox.com; reference:url,dereknewton.com/2011/04/dropbox-authentication-static-host-ids/; classtype:policy-violation; sid:2012647; rev:5; metadata:created_at 2011_04_07, updated_at 2019_01_16;)

Puede ver las reglas editando el archivo de reglas Suricata:

sudo vi /var/lib/suricata/rules/suricata.rules

Deshabilitar ciertas reglas

Dependiendo de su uso, algunas reglas deben deshabilitarse. Por ejemplo, si permite el uso de Dropbox dentro de su red, la regla para el SID 2012647 debe estar deshabilitada.

Edite el archivo que contiene las reglas para desactivar:

sudo vi /etc/suricata/disable.conf

Agregue la lista de reglas para desactivar, identificadas por su identificador de firma (SID).

Aquí hay un ejemplo de reglas que desactivé en mi instalación:

# suricata-update - disable.conf

1:2012647 # Dropbox

1:2013504 # APT package management

1:2210044 # SURICATA STREAM Packet with invalid timestamp

1:2029706 # COVID

1:2029707 # COVID

1:2029709 # COVID

1:2027865 # DNS Query to .cloud

1:2210054 # SURICATA STREAM excessive retransmissions

1:2260000 # Applayer Mismatch protocol both directions

1:2210020 # STREAM ESTABLISHED packet out of window

1:2016150 # INFO Session Traversal Utilities for NAT

1:2027758 # DNS Query for .cc

1:2002157 # CHAT Skype User-Agent detected

Si es necesario, es posible desactivar todas las reglas que pertenecen al mismo tipo de clasificación de clases. Por ejemplo, la clasificación de decodificación de comandos de protocolo genérico genera demasiadas alertas para mi gusto y es posible deshabilitar todas las reglas en esta clasificación.

# suricata-update - disable.conf

# Disable all rules from protocol command decode class type

re:classtype:protocol-command-decode

Luego, debe actualizar las reglas (consulte Actualización de las reglas).

Agregar una nueva fuente de reglas

Es posible agregar nuevas reglas de una fuente en particular.

Primero actualice la lista de fuentes disponibles:

sudo suricata-update update-sources

Luego vea las fuentes disponibles:

sudo suricata-update list-sources

Para verificar qué fuentes ya están activadas, ejecute el siguiente comando:

sudo suricata-update list-enabled-sources

Active una nueva fuente, por ejemplo, la fuente de las reglas oisf / trafficid .

sudo suricata-update enable-source oisf/trafficid

Luego, debe actualizar las reglas (consulte Actualización de las reglas).

Actualizar las reglas

Para integrar la detección de las últimas amenazas, es necesario actualizar periódicamente las reglas de Suricata ejecutando el siguiente comando:

sudo suricata-update --disable-conf=/etc/suricata/disable.conf

Entonces todo lo que tiene que hacer es reiniciar el servicio Suricata:

sudo systemctl restart suricata.service

4. Verificar el estado de Suricata

Para asegurarnos de que Suricata se esta ejecutando, miremos los logs de suricata.

$ sudo tail /var/log/suricata/suricata.log

Suricata is running!

En este caso en el sitio de prueba encontramos en el contenido del sitio los caracteres #c3284d# /*c3284d*/ Test /*/c3284d*/ #/c3284d#, los cuales corresponden a un malware.

En la imagen, en la parte de la consola de abajo, vemos como suricata utilizando las reglas de ETOpen detecta una posible intrusión.

Rules - Reglas