Suricata es un sistema de detección de intrusiones (IDS), prevención de intrusiones (IPS) y monitoreo de seguridad de red (NSM) de alto rendimiento. Estas herramientas de seguridad de red interrumpen automáticamente el tráfico y activan alertas al detectar una actividad maliciosa.
En un servidor privado virtual (VPS) Ubuntu, Suricata es una popular solución IDS e IPS. Además de ser de código abierto, esta monitorización del tráfico de red está disponible para varios sistemas operativos, incluidos Windows y Linux.
En esta guía, te mostraré cómo instalar y configurar Suricata en un Servidor Ubuntu para ayudar a mejorar la seguridad de tu red. También aprenderás a modificar la configuración predeterminada y a establecer nuevas reglas de detección para adaptarlas a tus prácticas de seguridad en VPS.
Requisitos previos:
Aunque Suricata no menciona sus requisitos mínimos de hardware, recomendamos un mínimo de 2 núcleos de CPU y 4 GB de RAM para garantizar un rendimiento óptimo.
- Un servidor con Ubuntu 20.04 (o una versión posterior).
- Acceso a una cuenta root.
- Conexión a Internet para descargar los paquetes necesarios.
NOTA IMPORTANTE: Si no tienes un plan de hosting VPS, te recomendamos que empieces con el plan Cloud VPS-1 y lo actualices cuando lo necesites.
Este plan es ideal, ya que sus 4 núcleos vCPU y 6 GB de RAM proporcionan suficiente margen para alojar otras aplicaciones, sin dejar de ser económico, al costar Bs. 181.30 al mes.
Paso 1: Actualizar el sistema
Antes de comenzar con la instalación, es importante asegurarse de que tu sistema esté actualizado. Abre una terminal y ejecuta los siguientes comandos:
sudo apt update sudo apt upgrade -y
Paso 2: Instalar las dependencias necesarias
Suricata requiere algunas dependencias que deben estar instaladas en tu sistema. Ejecuta los siguientes comandos para instalar las dependencias:
sudo apt install -y software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update
Paso 3: Instalar Suricata
Con las dependencias instaladas y el repositorio agregado, podemos proceder a instalar Suricata:
sudo apt install -y suricata
Paso 4: Configurar Suricata
La configuración de Suricata se maneja a través del archivo de configuración principal, generalmente ubicado en /etc/suricata/suricata.yaml
. Puedes editar este archivo para ajustar la configuración de Suricata según tus necesidades.
Abre el archivo de configuración con un editor de texto, por ejemplo, nano
:
sudo nano /etc/suricata/suricata.yaml
En este archivo, puedes configurar varias opciones, como las interfaces de red que Suricata debe monitorear. Busca la sección af-packet
y configúrala para que apunte a la interfaz de red correcta. Por ejemplo, si tu interfaz es eth0
, ajusta la configuración como se muestra a continuación:
af-packet: - interface: eth0
Guarda y cierra el archivo (Ctrl + O
, Enter
, Ctrl + X
en nano).
Paso 5: Descargar las reglas de Suricata
Suricata utiliza un conjunto de reglas para identificar el tráfico malicioso. Puedes descargar reglas de Emerging Threats (ET) o de otras fuentes. Utilizaremos las reglas de ET.
sudo apt install -y jq sudo suricata-update
Paso 6: Iniciar Suricata
Con Suricata instalado y configurado, puedes iniciarlo y habilitarlo para que se ejecute automáticamente al arrancar el sistema:
sudo systemctl start suricata sudo systemctl enable suricata
Paso 7: Verificar el estado de Suricata
Para asegurarte de que Suricata está funcionando correctamente, puedes verificar su estado:
sudo systemctl status suricata
Paso 8: Revisar los registros de Suricata
Suricata registra sus eventos y alertas en archivos de registro. Los registros más importantes se encuentran en /var/log/suricata/
. Puedes revisar estos registros para analizar la actividad de red y cualquier alerta generada por Suricata:
sudo tail -f /var/log/suricata/fast.log
Conclusión
Has instalado y configurado Suricata en tu servidor Ubuntu. Suricata ahora monitorea el tráfico de red en busca de actividades sospechosas y puede ayudarte a proteger tu red contra intrusiones. Asegúrate de mantener las reglas actualizadas y de revisar regularmente los registros para estar al tanto de cualquier actividad inusual.