​Implementarea unui Sistem de Detectare a Intruziunilor (IDS) folosind Suricata pe Raspberry Pi

Situatie

În era digitală actuală, casele noastre sunt echipate cu numeroase dispozitive conectate la internet, de la computere și smartphone-uri până la televizoare inteligente și dispozitive IoT. Această conectivitate extinsă aduce beneficii considerabile, dar și vulnerabilități semnificative în fața amenințărilor cibernetice. Atacatorii pot exploata aceste vulnerabilități pentru a accesa date personale, a compromite dispozitive sau a utiliza rețeaua noastră pentru activități malițioase.
Importanța Implementării unui IDS în Rețeaua de Acasă

Un Sistem de Detectare a Intruziunilor (IDS) monitorizează traficul de rețea pentru a identifica și alerta asupra activităților suspecte sau malițioase. Implementarea unui IDS în rețeaua de acasă oferă o serie de beneficii:

Monitorizare Proactivă: Permite detectarea timpurie a tentativelor de acces neautorizat sau a comportamentelor anormale în rețea.
Protecție Împotriva Amenințărilor: Ajută la prevenirea atacurilor cibernetice, cum ar fi malware-ul, phishing-ul sau atacurile de tip denial-of-service.
Vizibilitate Asupra Traficului de Rețea: Oferă o înțelegere clară a tipurilor de trafic și a dispozitivelor conectate, facilitând identificarea dispozitivelor compromise sau a activităților neobișnuite.

De ce să Alegem Suricata pe un Raspberry Pi cu Ubuntu Server ?

Suricata este un motor open-source de detectare a amenințărilor, recunoscut pentru performanța și flexibilitatea sa. Raspberry Pi, un microcomputer accesibil și eficient energetic, oferă o platformă ideală pentru implementarea unui IDS în mediul casnic. Utilizarea Ubuntu Server LTS asigură un sistem de operare stabil și actualizat, compatibil cu Suricata.

Să presupunem că aveți o rețea de acasă cu mai multe dispozitive conectate, inclusiv laptopuri, telefoane inteligente și dispozitive IoT. Fără un sistem de monitorizare, este dificil să detectați dacă unul dintre aceste dispozitive a fost compromis și trimite date sensibile către un server extern. Prin implementarea Suricata pe un Raspberry Pi, puteți monitoriza traficul de rețea și primi alerte în timp real despre activități suspecte, permițându-vă să acționați rapid pentru a proteja informațiile personale și integritatea rețelei.

Implementarea unui IDS precum Suricata pe un Raspberry Pi cu Ubuntu Server reprezintă o soluție eficientă și accesibilă pentru îmbunătățirea securității rețelei de acasă. Această configurație oferă monitorizare proactivă, protecție împotriva amenințărilor și vizibilitate asupra traficului de rețea, contribuind semnificativ la protejarea datelor personale și a dispozitivelor conectate.

Pentru a instala și configura Suricata pe un Raspberry Pi cu Ubuntu Server, asigurați-vă că aveți următoarele:

Raspberry Pi: Dispozitivul principal pentru rularea Suricata.
Card microSD de minim 32GB: Pentru instalarea sistemului de operare.
Conexiune la internet: Necesară pentru descărcarea pachetelor și actualizărilor necesare.
Computer pentru configurare inițială: Pentru a crea cardul microSD bootabil și a accesa Raspberry Pi prin SSH.

*Alternativ se poate conecta la un dispaly folosing un HDMI to MicroHDMI.

Cabluri de rețea și switch cu funcție de Port Mirroring: Pentru a permite monitorizarea traficului de rețea de către Suricata.

Solutie

Instalarea Ubuntu Server 24.04 LTS pe Raspberry Pi 5

1.Descărcarea și pregătirea imaginii Ubuntu Server:

Descărcați Raspberry Pi Imager pe computerul dvs.
Lansați aplicația și selectați:
Choose OS: Navigați la Other general-purpose OS > Ubuntu > Ubuntu Server 24.04 LTS (64-bit).
Choose Storage: Selectați cardul microSD dorit.
Accesați setările avansate (pictograma rotiță) și configurați:

Set hostname: Introduceți un nume pentru dispozitiv. Retineti hostname-ul setat pentru a il folosi in pasii urmatori.

Enable SSH: Bifați această opțiune și selectați metoda de autentificare dorită (parolă sau cheie publică), in cazul meu am ales o parola. Aceasta optiune de ajuta sa ne conectam intr-un mediu fără monitor (headless) la Raspberry Pi direct dintr-un computer windows folosind PuTTY.

Configure wireless LAN: Dacă utilizați Wi-Fi, introduceți SSID-ul și parola rețelei. In caz contrat puteti folosi o conexiune directa prin cablu.

Salvați setările și scrieți imaginea pe cardul microSD.

2.Instalarea Ubuntu Server pe Raspberry Pi:

Introduceți cardul microSD în Raspberry Pi .
Conectați Raspberry Pi la rețea prin cablu Ethernet in cazul in care nu ati setat Wireless LAN.
Alimentați dispozitivul și așteptați finalizarea procesului de inițializare.

*Daca aveti Raspberry Pi-ul conectat la un display folosing MicroHDMI urmează instrucțiunile de pe ecran pentru a finaliza instalarea.

3.Conectarea la Raspberry Pi prin SSH:

Determinați adresa IP a Raspberry Pi-ului accesând interfața de administrare a routerului.
Utilizați un client SSH (de exemplu, PuTTY) pentru a vă conecta:

ssh utilizator@adresa_ip

Introduceți parola configurată anterior.

Instalarea și configurarea Suricata pe Ubuntu Server

1.Actualizarea și instalarea Suricata:

Actualizați lista de pachete și instalați Suricata folosind comenzile:

sudo apt update
sudo apt install suricata -y

2.Configurarea Suricata:

Editați fișierul de configurare principal:

sudo nano /etc/suricata/suricata.yaml

Setați interfața de rețea monitorizată (de obicei, eth0) dupa care salvați și închideți fișierul.:

af-packet:
– interface: eth0
cluster-id: 99
cluster-type: cluster_flow
defrag: yes

3.Actualizarea regulilor si initializarea serviciul Suricata:

Instalați utilitarul suricata-update:

sudo apt install suricata-update -y
sudo suricata-update

Initializati serviciu Suricata:

sudo systemctl start suricata
sudo systemctl enable suricata

Verificati statusul suricata:
sudo systemctl status suricata

Configurarea switch-ului pentru Port Mirroring

Pentru ca Suricata să monitorizeze întregul trafic de rețea, este necesar să configurați funcția de Port Mirroring pe switch-ul utilizat. Acest proces variază în funcție de modelul switch-ului. Consultați manualul dispozitivului pentru instrucțiuni specifice. In cazul meu folosesc Switch TP-Link TL-SG105E.

Testarea funcționalității Suricata

1.Generarea de trafic de test:

Utilizarea EICAR Test File:

EICAR (European Institute for Computer Antivirus Research) oferă un fișier standard de testare a soluțiilor antivirus și IDS. Descărcarea acestui fișier ar trebui să declanșeze o alertă în Suricata.

Deschideți un terminal pe un dispozitiv din rețea și rulați comanda, Suricata ar trebui să genereze o alertă pentru această acțiune:

curl -O http://www.eicar.org/download/eicar.com

3.Utilizarea testmynids.org:

Acest site este conceput pentru a testa sistemele IDS/IPS. Accesarea sa ar trebui să declanșeze alerte în Suricata.

Într-un browser web, navigați la: http://testmynids.org/uid/index.html

Verificarea alertelor generate:

1.Fișierul fast.log:

Acest fișier conține alertele generate de Suricata. Pentru a le vizualiza, rulați in shell pe serverul Linux:
cat /var/log/suricata/fast.log

2.Fișierul eve.json, acest fișier stochează evenimentele în format JSON. Pentru a vizualiza alertele, utilizați:
jq ‘.alert’ /var/log/suricata/eve.json

3.Analiza alertelor:

Verificați semnăturile și detaliile alertelor pentru a înțelege natura traficului detectat.Dacă alertele nu apar conform așteptărilor, verificați configurația Suricata și asigurați-vă că regulile sunt actualizate și active.

Implementarea unui Sistem de Detectare a Intruziunilor folosind Suricata pe un Raspberry Pi 5 oferă o soluție eficientă și accesibilă pentru monitorizarea securității rețelei. Această configurație permite detectarea în timp real a activităților suspecte, contribuind la protejarea infrastructurii IT împotriva amenințărilor cibernetice. Asigurându-vă că topologia rețelei este configurată corect și că hardware-ul utilizat este compatibil, puteți beneficia de un sistem IDS robust și scalabil.

Tip solutie

Permanent

Follow Us