![\"\"](\"https:\/\/blog.hostinger.io\/co-tutoriales\/wp-content\/uploads\/sites\/40\/2022\/12\/Linux-cheat-sheet-ES-1024x283.png\")
<\/a><\/figure>Requisitos previos<\/h2>
Aunque Suricata no menciona sus requisitos mínimos de hardware, recomendamos un mínimo de 2 núcleos de<\/strong> CPU <\/strong>y 4 GB de RAM<\/strong> para garantizar un rendimiento óptimo.<\/p> Si no tienes un plan de hosting VPS<\/a>, te recomendamos que empieces con el plan KVM 2 de Hostinger <\/strong>y lo actualices cuando lo necesites.<\/p> Este plan es ideal, ya que sus 2 núcleos<\/strong> vCPU <\/strong>y 8 GB de RAM <\/strong>proporcionan suficiente margen para alojar otras aplicaciones, sin dejar de ser asequible, al costar CO$ 31900.00 al mes<\/strong>.<\/p> En cuanto al sistema operativo, asegúrate de que tu VPS es compatible con Ubuntu 22.04 <\/strong>o posterior. Las versiones anteriores pueden ser incompatibles con la última versión de Suricata.<\/p> Los usuarios de Hostinger pueden utilizar el instalador de un clic de hPanel <\/strong>para cambiar a otros sistemas operativos. Para ello, navega a la barra lateral de tu Vista general <\/strong>→ Sistema operativo y panel<\/strong>→ Sistema Operativo<\/strong>. Selecciona la última versión de Ubuntu y haz clic en Cambiar SO<\/strong>.<\/p> La instalación de Suricata también requiere privilegios de root o superusuario para ejecutar comandos de Linux<\/a>. Para evitar problemas de permisos y garantizar un proceso de instalación de línea de comandos sin problemas, elige un proveedor de alojamiento VPS con acceso total al servidor, como Hostinger.<\/p> Además de una amplia compatibilidad, los mejores proveedores de alojamiento VPS<\/a> deben ofrecer un tiempo de actividad fiable y diversas funciones. Por ejemplo, Hostinger ofrece a Kodee, el asistente con IA, que te permite simplificar las tareas introduciendo distintas indicaciones para la gestión del VPS<\/a>.<\/p> También proporcionamos un terminal de navegador <\/strong>que te permite conectarte a tu sistema Ubuntu sin utilizar un cliente SSH como PuTTY<\/a>. Para acceder a tu VPS de forma remota, utiliza las credenciales de acceso de la pestaña Acceso SSH <\/strong>del menú Vista general.<\/p> \n\n\n\n ¡Importante!<\/strong> Por defecto, iniciarás sesión como usuario root. Te recomendamos que cambies a otra cuenta con privilegios de superusuario para evitar ejecutar accidentalmente comandos destructivos.<\/p><\/div>\n\n\n\n<\/p> Todos nuestros planes de alojamiento VPS ofrecen garantía de tiempo de actividad del 99.9% <\/strong>y una garantía de devolución del dinero de 30 días<\/strong>.<\/p> En esta sección, explicaremos los pasos para instalar Suricata en un VPS que ejecute Ubuntu 22.04<\/strong>. Si quieres instalarlo en un host gateway para escanear el tráfico de red entrante y saliente, puede que necesites pasos adicionales, como modificar las reglas del cortafuegos.<\/p> Antes de instalar Suricata, actualiza APT para asegurarte de que recibes la última versión local. Este paso también aplica los parches más recientes a otros paquetes del sistema para ayudar a mejorar la seguridad y evitar problemas de incompatibilidad.<\/p> Para listar las actualizaciones de paquetes del sistema disponibles en tu repositorio APT, ejecuta el siguiente comando:<\/p> Instala actualizaciones para todos los paquetes del sistema utilizando este comando:<\/p> El proceso puede tardar minutos u horas, dependiendo del tamaño total de la actualización y de tu velocidad de Internet.<\/p> Existen varios métodos para instalar Suricata en Ubuntu. En esta sección, explicaremos las tres formas más comunes, empezando por la más sencilla.<\/p> Instalar Suricata con APT<\/strong><\/p> Utiliza este comando para instalar Suricata en Ubuntu utilizando el repositorio local de APT:<\/p> Para comprobar si Suricata está instalado correctamente, comprueba su número de versión utilizando este comando:<\/p> \n\n\n ¡Importante!<\/strong> Asegúrate de escribir correctamente las mayúsculas al introducir los comandos, ya que distinguen entre mayúsculas y minúsculas.<\/p><\/div>\n\n\n\n<\/p> Alternativamente, haz una lista de los paquetes instalados en Ubuntu<\/a> utilizando el comando apt list <\/strong>y filtra Suricata utilizando grep <\/strong>como se indica a <\/strong>continuación:<\/p> Ten en cuenta que este método puede instalar una versión anterior, ya que estás utilizando el repositorio local del gestor de paquetes APT.<\/p> Instalar Suricata a través de paquetes binarios<\/strong><\/p> Para instalar la última versión estable, importa el repositorio de la Open Information Security Foundation (OISF)<\/a> desde el servidor Suricata. Para ello, ejecuta estos comandos:<\/p> Pulsa Intro <\/strong>si el terminal te pide confirmación. Después de importar el repositorio, actualiza APT y desempaqueta el software con este comando:<\/p> Si utilizas otros derivados de Debian, utiliza el repositorio de retroinstalaciones para obtener la última versión estable. <\/p> Instalar Suricata utilizando archivos de distribución de origen<\/strong><\/p> Configurar Suricata a partir de los archivos fuente de distribución te permite configurar los ajustes de instalación. Sin embargo, tendrás que instalar varias dependencias y diversas cabeceras de desarrollo.<\/p> Tras instalar las dependencias de Suricata<\/a>, ejecuta a continuación los siguientes comandos:<\/p> El paquete Suricata incluye un archivo de configuración YAML <\/strong>para ajustar la configuración y el comportamiento de la herramienta. Puedes editarlo con un editor de texto como nano<\/a>:<\/p> El archivo suricata.yaml <\/strong>tiene varios parámetros que puedes ajustar. Éstos son los más comunes:<\/p> Edita las configuraciones y pulsa Ctrl + X<\/strong>, Y <\/strong>e Intro <\/strong>para guardar los cambios. Para buscar rápidamente un parámetro concreto, utiliza el atajo de teclado Ctrl + W <\/strong>para activar la función de búsqueda.<\/p> Además de leer las instrucciones proporcionadas, consulta la documentación del archivo de configuración de Suricata<\/a> para saber más sobre los ajustes. En el caso de parámetros comentados como community-id<\/strong>, elimina el símbolo de almohadilla (#) <\/strong>al <\/strong>principio para activarlos.<\/p> Para procesar el tráfico de red y evitar que los paquetes maliciosos dañen tu sistema, Suricata debe supervisar una interfaz.<\/p> Por defecto, Suricata no rastrea ninguna conectividad desde y hacia tu servidor. Los usuarios deben especificar qué interfaz de red supervisar y determinar el método de captura de paquetes mediante el archivo YAML<\/strong>.<\/p> Por ejemplo, queremos utilizar el método de captura de paquetes af <\/strong>y supervisar la interfaz de red venet0<\/strong>. Éste es el aspecto de la configuración:<\/p> Introduce este comando para mostrar la interfaz por defecto y otra información de enrutamiento:<\/p> Establece el método de captura de paquetes en función de tus necesidades. Por ejemplo, af-packet <\/strong>es adecuado para el seguimiento en directo de la red, mientras que pcap <\/strong>es ideal para el análisis fuera de línea.<\/p> Para supervisar varias interfaces de red, añade estas nuevas líneas en la parte inferior de la sección del método de captura. Asegúrate de que cluster-ID <\/strong>es único:<\/p> Habilita el servicio Suricata mediante el comando systemctl <\/strong>para ejecutarlo en segundo plano:<\/p> Para comprobar si funciona correctamente, ejecuta lo siguiente:<\/p> Si el servicio Suricata se está ejecutando, terminal debería mostrar los estados cargado <\/strong>y activo <\/strong>como los siguientes.<\/p> Recuerda, reinicia siempre el servicio Suricata después de modificar el archivo de configuración para asegurarte de que los nuevos ajustes se aplican correctamente. Este es el comando:<\/p> Alternativamente, detén Suricata y vuelve a ejecutarlo utilizando el comando systemctl start<\/strong>. Para terminar el daemon, introduce lo siguiente:<\/p> Automatizar el inicio de Suricata ayuda a mantener una seguridad óptima del VPS<\/a>, ya que no necesitas reactivarlo manualmente tras reiniciar el sistema. Esto ayuda a mejorar la eficiencia de la gestión del servidor.<\/p> Para ello, crea un nuevo archivo de unidad de servicio systemd <\/strong>para desplegar Suricata automáticamente cuando se inicie el servidor mediante el siguiente comando:<\/p> Dentro del archivo de la unidad de servicio, introduce las siguientes líneas:<\/p> Pulsa Ctrl + X<\/strong>, Y <\/strong>y Enter <\/strong>para guardar los cambios. Ejecuta el siguiente comando para que Suricata se cargue automáticamente al arrancar el sistema:<\/p> A continuación, ejecuta el comando systemctl start <\/strong>para iniciar Suricata. Comprueba el estado para asegurarte de que el servicio se está ejecutando.<\/p> Si terminal devuelve el error “No coinciden los archivos de reglas<\/strong>“, es posible que Suricata no pueda cargar las reglas de monitorización de red. Para solucionarlo, ejecuta suricata-update <\/strong>para actualizar la ruta del directorio.<\/p> A continuación, abre el archivo suricata.yaml <\/strong>y modifica las reglas de configuración, como se indica a continuación:<\/p> Guarda el archivo y reinicia el servicio para aplicar los cambios.<\/p> Después de iniciar Suricata, valida su archivo de configuración para asegurarte de que la herramienta funciona. La forma más sencilla de hacerlo es utilizando el comando de prueba incorporado:<\/p> La opción -T <\/strong>te permite ejecutar el modo de prueba Suricata y -c <\/strong>te permite encontrar el archivo de configuración en la ruta especificada. Además, la opción -v <\/strong>activa el modo verbose, que proporciona detalles sobre la ejecución del comando, incluidos los errores.<\/p> Si tienes numerosas reglas e hilos de CPU limitados, el proceso se ejecutará durante más tiempo, pero no debería superar unos minutos. El terminal imprimirá los registros de la prueba como los siguientes.<\/p> Durante este paso, busca el mensaje de advertencia que indica una configuración incorrecta en tu archivo YAML<\/strong>. Para simplificar la resolución de problemas, te recomendamos que le preguntes a Kodee para encontrar soluciones.<\/p> A continuación, comprueba las reglas de Suricata para asegurarte de que detectan correctamente el tráfico malicioso. La guía de inicio rápido de Suricata recomienda utilizar la regla ET Open número 2100498 <\/strong>y conectarse a una URL de prueba mediante el comando curl<\/strong>:<\/p> El comando enviará una petición HTTP para activar la regla de alerta. A continuación, Suricata generará eventos de registro en el archivo eve.json <\/strong>y fast.log <\/strong>sobre el tráfico detectado.<\/p> Comprueba si Suricata etiqueta la petición HTTP como tráfico potencialmente malicioso en el archivo fast.log<\/strong>. Para ello, ejecuta la utilidad grep <\/strong>para filtrar el número de ID de la regla:<\/p> La salida debería mostrar un registro etiquetando el paquete como “Tráfico potencialmente malo<\/strong>“.<\/p> Como el registro eve <\/strong>formatea sus entradas como JSON<\/strong>, analizarlo requiere la utilidad jq<\/strong>. Omite este paso si tienes instalada la utilidad. En caso contrario, ejecuta lo siguiente:<\/p> A continuación, introduce el siguiente comando para filtrar las entradas del archivo de registro en función del ID de firma y del tipo de alerta:<\/p> Deberías ver el ID de la regla y la misma categoría “Tráfico potencialmente malo<\/strong>“. Significa que Suricata ha emparejado el tráfico de tu red con la regla de detección correcta.<\/p> Estos registros son útiles para la gestión de alertas y la supervisión de la seguridad de la red. Por ejemplo, puedes bloquear fuentes de tráfico sospechosas en el Cortafuegos sin complicaciones<\/a> (UFW) de Ubuntu o en iptables<\/strong>.<\/p> Suricata detecta los paquetes sospechosos mediante firmas o reglas definidas por el usuario. Incluye algunas por defecto, pero pueden ser insuficientes si tu servidor recibe tráfico de muchas fuentes.<\/p> Para añadir nuevas reglas, obtén conjuntos de reglas adicionales de varios proveedores externos. Aunque algunos de ellos son gratuitos, otros pueden cobrar una cuota de suscripción. Para listarlos, ejecuta el siguiente comando:<\/p> Verás los proveedores, resúmenes, licencias e información de suscripción de los proveedores. Para importar un conjunto de reglas, ejecuta el siguiente comando:<\/p> Sustituye el marcador de posición nombre-del-proveedor <\/strong>por la fuente del conjunto de reglas que desees. Por ejemplo, ejecuta esto para recuperar sslbl\/ja3-fingerprints<\/strong>:<\/p> A continuación, vuelve a ejecutar el comando suricata-update <\/strong>para actualizar y validar los archivos de reglas del directorio \/etc\/suricata\/rules<\/strong>. Si no añades una fuente externa, la actualización de Suricata recuperará las reglas por defecto de ET OPEN<\/strong>.<\/p> Después de actualizar la fuente ET OPEN por defecto, verás que Suricata ha procesado la inspección de la firma de la carga útil del paquete <\/strong>y las reglas ip-only<\/strong>.<\/p> El mensaje de actualización debería terminar con la herramienta limpiando la estructura de agrupación de firmas. Si estás actualizado, terminal imprimirá “No se han detectado cambios, saliendo<\/strong>“.<\/p> Te recomendamos que ejecutes la herramienta de actualización Suricata con regularidad para asegurarte de que tu sistema recibe la regla más reciente. Aplicar el método de detección más reciente ayuda a mantener una seguridad óptima del servidor Ubuntu.<\/p> Opcionalmente, utiliza herramientas de gestión de reglas Suricata como Pulledpork<\/a> y Oinkmaster<\/a> para afinar el método de detección. Utiliza nano <\/strong>para modificar el archivo:<\/p> La sintaxis de la regla Suricata es la siguiente:<\/p> Aquí lo que significa cada parámetro y sus valores aceptados:<\/p>![\"Cambiar](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/Cambiar-sistema-operativo-hPanel.png\")
<\/figure>![\"\"](\"https:\/\/blog.hostinger.io\/co-tutoriales\/wp-content\/uploads\/sites\/40\/2023\/02\/ES-VPS-hosting_in-text-banner-1024x300.png\")
<\/a><\/figure>Cómo instalar Suricata en Ubuntu<\/h2>
1. Actualiza los paquetes de Ubuntu<\/h3>
sudo apt update<\/pre>
sudo apt upgrade<\/pre>
2. Instala Suricata<\/h3>
sudo apt install -y suricata<\/pre>
suricata -V<\/pre>
![\"Verificación](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/Versio%CC%81n-de-Suricata.png\")
<\/figure><\/div>sudo apt list --installed | grep suricata<\/pre>
sudo apt install software-properties-common<\/pre>
sudo add-apt-repository ppa:oisf\/suricata-stable<\/pre>
sudo apt install suricata<\/pre>
tar xzvf suricata-6.0.0.tar.gz<\/pre>
cd suricata-6.0.0<\/pre>
.\/configure<\/pre>
make<\/pre>
make install<\/pre>
3. Configura Suricata<\/h3>
sudo nano \/etc\/suricata\/suricata.yaml<\/pre>
\n
4. Habilita interfaces de red<\/h3>
af-packet:\n - interface: venet0<\/pre>
ip -p -j route show<\/pre>
- interface: interface name\n cluster-id: 29<\/pre>
5. Inicia Suricata<\/h3>
sudo systemctl start suricata<\/pre>
sudo systemctl status suricata<\/pre>
![\"Terminal](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/terminal-Suricata.png\")
<\/figure>sudo systemctl restart suricata<\/pre>
sudo systemctl stop suricata<\/pre>
6. Automatiza el inicio de Suricata<\/h3>
sudo nano \/etc\/systemd\/system\/suricata.service<\/pre>
# Define the Suricata systemd unit\n[Unit]\nDescription=Suricata IDS\/IPS\nAfter=network.target\n\n# Specify the Suricata binary path, the configuration files location, and the network interface\n[Service]\nExecStart=\/usr\/bin\/suricata -c \/etc\/suricata\/suricata.yaml -i venet0\n[Install]\n\nWantedBy=default.target<\/pre>
sudo systemctl enable suricata<\/pre>
default-rule-path: \/var\/lib\/suricata\/rules<\/pre>
rule-files:\n - suricata.rules<\/pre>
7. Prueba la funcionalidad de Suricata<\/h3>
sudo suricata -T -c \/etc\/suricata\/suricata.yaml -v<\/pre>
![\"Terminal](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/Terminal-.png\")
<\/figure>curl http:\/\/testmynids.org\/uid\/index.html<\/pre>
grep 2100498 \/var\/log\/suricata\/fast.log<\/pre>
sudo apt install jq<\/pre>
jq 'select(.alert .signature_id==2100498)' \/var\/log\/suricata\/eve.json<\/pre>
8. Actualiza las normas de Suricata<\/h3>
sudo suricata-update list-sources<\/pre>
![\"Nuevas](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/An%CC%83adir-nuevas-reglas-Suricata.png\")
<\/figure>sudo suricata-update enable-source nombre-del-proveedor<\/pre>
sudo suricata-update enable-source sslbl\/ja3-fingerprints<\/pre>
![\"Mensaje](\"https:\/\/www.hostinger.com\/co\/tutoriales\/wp-content\/uploads\/sites\/40\/2024\/05\/Mensaje-de-actualizacio%CC%81n-en-Suricata.png\")
<\/figure>sudo nano \/etc\/suricata\/rules\/rule_name.rules<\/pre>
action protocol source-ip\/port -> destination-ip\/port (options; options; ... )<\/pre>
\n