Install Suricata. Halo teman – teman, kali ini Team Dixmata ingin membagikan sebuah dokumentasi IDS (Intrusion Detection System). IDS sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). wikipedia.org.
Salah satu IDS kami gunakan adalah Suricata, yang merupakan salah satu Tool Monitoring digunakan mendeteksi ancaman sesuai denga Rule yang telah dibuat. Menurut kami Suricata ini, selain juga Open Source , Suricata sangat tangguh dalam mendeteksi segala ancaman penyusupan secara real-time dan memantau kemanata jaringan dan webserver. Suricata mendukung emua sistem operasi utama termasuk Linux, Windows, FreeBSD, dan macOS, dan juga mendukung IPv4, IPv6, SCTP, ICMPv4, ICMPv6, dan GRE
Dalam Documentasi kali ini kami akan menunjukan cara menginstall dan mengkonfigurasi Suricata IDS di Ubuntu 18.04.
Note
Alasan kami masih menggunakan Ubuntu 18.04 dan tidak menggunakan Ubuntu 20.04 adalah pada Repo atau Personal Package Archives (PPA) Suricata untuk versi stable masih mendukung Ubuntu 18.04, sedangkan Ubuntu 20.04 masih (dev/experimental). Teman-teman bisa cek pada Website Resminya Suricata.
Prasyarat
- VPS OS Ubuntu 18.04 ( Jika Ingin install Ubuntu 20.04 Bisa Lihat Cara install Ubuntu 20.04
- RAM 4 GB (Recomended)
- Akses root
- HDD 50 GB
Langkah 1 – Installasi dan Update Package Ubuntu 18.04 (Install Suricata Ubuntu)
Setelah teman – teman selesai installasi VPS, masuk ke root VPS dan Lakukan Update pada Server. Dan untuk RAM bisa menggunakan 2GB Minimal, tergantung seberapa besar traffic yang akan kalian gunakan pada Suricata.
Masuk ke root dengan Menggunakan SSH, dan setelah teman – teman masuk, jalankan perintah berikut ini untuk melakukan Update System Server.
apt update
Langkah 2 – Add Repository Install Suricata IDS Ubuntu
Proses installasi Suricata kami menggunakan Repository, karena menggunakan Repository teman – teman akan lebih mudah dalam melakukan Installasi, dan juga pada saat proses Update. Ada banyak cara untuk melakukan Suricata, dan kami memilih menggunakan Repository karena lebih sederhana. (Install Suricata IDS Ubuntu Terbaru)
add-apt-repository ppa:oisf/suricata-stable
apt update
Langkah 3 – Install Suricata IDS Ubuntu (Install Suricata Ubuntu)
Jika sudah selesai dalam melakukan proses Add Repository dan melakukan Update Repository pada System Ubuntu 18.04, teman – teman sudah dapat melakukan proses installasi.
Lakukan installasi Suricata menggunakan perintah berikut ini (Install Suricata IDS Ubuntu Terbaru)
apt -y install suricata
Atau Instalasi dengan proses debugging di enabled.
apt -y install suricata-dbg
Pilih <Yes>, Jika keluar Notice seperti gambar di bawah.
Jika sudah selesai, maka akan terdapat file berikut ini
( File Suricata Rule -> /etc/suricata/rules/ )
(File konfigurasi -> /etc/suricata/suricata.yaml)
Jika teman – teman ingin membuat atau menambahkan Rule pada Suricata, dapat ditambahkan pada Directory "rules".Untuk melihat List Rule yang ada pada Suricata gunakan perintah Berikut ini
ls /etc/suricata/rules/ app-layer-events.rules http-events.rules smb-events.rules decoder-events.rules ipsec-events.rules smtp-events.rules dhcp-events.rules kerberos-events.rules stream-events.rules dnp3-events.rules modbus-events.rules tls-events.rules dns-events.rules nfs-events.rules files.rules ntp-events.rules
Langkah 4 – Konfigurasi Suricata (Install Suricata Ubuntu)
File konfigurasi utama Suricata berada pada /etc/suricata/suricata.yml , dan didalam file tersebut sudah penjelasan tentang konfigurasi dengan dan sangat mudah untuk dikonfigurasi.
Untuk konfigurasi Awal kita mulai dengan memisahkan jaringan Internal dan Jaringan External (Luar) yang akan dilindungin oleh Suricata. ini cukup mendefeniskan pada HOME_NET dan EXTERNAL_NET. (Install Suricata IDS Ubuntu Terbaru)
nano /etc/suricata/suricata.yaml
HOME_NET: "[192.168.1.10]"
atau kami lebih suka menggunakan semua jaringan Private, tergantung kebutuhan teman – teman
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
...
EXTERNAL_NET: "!$HOME_NET"
...
Disini kami menggunakan IP 192.168.1.10 pada Server Ubuntu 18.04, sedikit penjelasan tentang konfigurasi diatas, HOME_NET yaitu jaringan Private yang digunakan pada jaringan Internal, dan EXTERNAL_NET merupakan semua jaringan kecuali jaringan Private. Jadi pada Rule Suricata, kami cuma mendeteksi jaringan yang mencurigakan selain jaringan Internal/IP Private atau selain jaringan HOME_NET
Langkah 5 – Testing Rule Suricata
Disini kami akan mengguji dengan menggunakan 2 Rules pada Suricata. Rule pertama DDoS Attack dan kedua Rule http.response 404
– Rule DDoS Attack
Buat sebauh file dengan perintah berikut ini :
nano /etc/suricata/rules/test-dixmata.rules
Lalu Copy Rule ini ke dalam file test-dixmata.rules
alert tcp any any -> any 80 (msg: "Possible DDoS attack"; flags: S; flow: stateless; threshold: type both, track by_dst, count 200, seconds 1; sid:1; rev:1;)
Jika sudah lalu Save. dan teman – teman harus mengkonfigurasi Suricata, dan menyatakan File test-dixmata.rules didalam Konfigurasi Suricata,Mengganti Interface ke inteface yang teman – teman gunakan pada Server, dan jangan lupa mengganti path directory Rule Suricata.
Note :
Kasus yang sering terjadi, ada teman – teman yang lupa mengganti path rule, yang mengakibatkan Rule Suricata tidak berjalan. Maka teman – teman harus teliti dalam mengkonfigurasinya, karena sedikit saja kesalahan akan mengakibatkkan Rule atau Suricata tidak berjalan
nano /etc/suricata/suricata.yaml
af-packet: - interface: ens18 .. default-rule-path: /etc/suricata/rules rule-files: - test-dixmata.rules
– Rule Http Response 404
Sama hal dengan Rule DDoS, copy rule berikut ini ke dalam file test-dixmata.rules
nano /etc/suricata/rules/test-dixmata.rules
alert http any any -> any any (msg: " ERROR 404 "; flow:from_server,stateless; content:"404"; http_stat_code; sid:2;)
Jika sudah, Simpan dan Restart service Suricata.
systemctl restart suricata
Lakukan Uji serangan dengan menggunakan perintah DDoS terhadap host Suricata dengan menggunakan host yang berbeda
hping3 -S -p 80 --flood --rand-source 192.168.1.10
Pada serangan berjalan, lakukan pengecekan pada log suricata dengan menggunakan perintah berikut ini.
tail -f /var/log/suricata/fast.log
Dan hasilnya
10/10/2021-23:52:30.235537 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 189.118.247.61:21316 -> 192.168.1.10:80
10/10/2021-23:52:31.235502 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 53.100.62.179:30548 -> 192.168.1.10:80
10/10/2021-23:52:31.243053 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 87.158.71.85:31658 -> 192.168.1.10:80
10/10/2021-23:52:32.203483 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 60.242.45.130:32364 -> 192.168.1.10:80
10/10/2021-23:52:33.189993 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 19.186.223.12:47196 -> 192.168.1.10:80
10/10/2021-23:52:34.184907 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 124.12.249.150:63323 -> 192.168.1.10:80
10/10/2021-23:52:35.164185 [**] [1:1:1] Possible DDoS attack [**] [Classification: (null)] [Priority: 3] {TCP} 33.62.71.1:6217 -> 192.168.1.10:80
Jika pada Webserver mendapatkan Http.Response 404, hasilnya seperti ini
10/11/2021-00:10:46.365986 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 192.168.1.12:1025
10/11/2021-00:10:46.469830 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 192.168.1.13:1025
10/11/2021-00:10:46.727258 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 192.168.1.14:1025
10/11/2021-00:10:46.795240 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 172.18.11.250:1025
10/11/2021-00:10:46.953673 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 172.18.10.249:1025
10/11/2021-00:10:47.032340 [**] [1:2:0] ERROR 404 [**] [Classification: (null)] [Priority: 3] {TCP} 192.168.1.10:80 -> 172.18.10.249:1025
Sekian Dokumentasi Tentang Install Suricata IDS/IPS Ubuntu 18.04, Jika teman – teman melakukan membuat Rule yang benar, maka akan mendapatkan hasil yang sama seperti Dokumetasi kami ini. Untuk selajutkan kami akan atau Part 2 nya kami akan Mengintegrasikan Suricata IDS dengan ELK Server. Mohon Maaf apa bila ada kata – kata yang salah dan Kami mohon kritik dan saran pada Kolom komentar. Jika ingin membaca lebih lanjut dapat di Sumber berikut ini
Sumber :
