Suricata’nın Yapılandırılması

kaleileriteknoloji
2 min readAug 2, 2021

--

Suricata’yı kullanmak için bir tane ağ arayüzünü dinleme modunda ayarlayarak trafiğin bu ağ arayüzüne yönlendirilmesi gerekmektedir.

İlk olarak ağ arayüzlerini “ip a” komutu ile görüntüleyelim.

Eth1 ağ arayüzünü promisc moda almak için aşağıdaki komut kullanılmalıdır:

# ifconfig eth1 promisc

Promisc moda aldıktan sonra tekrardan ağ arayüzlerini görüntülediğimizde arayüzün PROMISC moda geçtiğini görebiliyoruz.

Suricata’da trafiğin kuyruklanması için iptables aracılığıyla aşağıdaki komutlar kullanılabilir.

#iptables –A INPUT –j NFQUEUE

#iptables –A OUTPUT –j NFQUEUE

Suricata ayarları /etc/suricata/suricata.yml dosyasında tutulmaktadır.

İlk olarak tanımlamalarda yer alan HOME_NET ve EXTERNAL_NET ifadelerinin tanımlanması sağlanmalıdır.

Loglama için filename:eve.json ifadesinin belirtilmesi sonucu loglar /var/log/suricata/eve.json olarak kaydedilmektedir. Filebeat aracılığıyla loglar toplanarak, logstash ile parse edilerek kibana’da logların incelenmesi sağlanabilir.

Ayarlarda ağ arayüzü bilgileri promisc moda aldığımız ağ arayüzü ile aşağıdaki şekilde güncellenmelidir:

af-packet:

- interface: eth1

pcap:

- interface: eth1

netmap:

- interface: eth1

pfring:

- interface: eth1

Suricata kuralların tanımlanması için aşağıdaki şekilde değişiklik yapılmalıdır. Burada kullanılması istenen kurallar belirtilmelidir.

Suricata kurallarını güncellemek için aşağıdaki komut kullanılmalıdır:

#suricata-update

Kurallar /etc/suricata/rules dizini altında bulunmaktadır.

Suricatayı aşağıdaki komut ile çalıştırabiliriz:

--

--