More than 3 years have passed since last update.

Raspberry PiにSuricataをインストール

Last updated at 2020-02-26Posted at 2020-02-14

目的

Raspberry Piを簡易Gatewayとして使いたい。
SuricataでIPS/IDSを作るというよりは、セキュリティの解析用環境からイケナイ通信が出ていくのを止めたり、特定の通信の発生をキャッチしたい。
でも、今回は、インストールと起動の確認まで。

Raspberry PiのOSは、Raspbianで、WiFiルータ(WAN)に接続、eth0にDHCPサーバを設定している。
今回は、eth0のLAN側の通信を監視してみる。

以下の手順を参照して、Raspberry PiをUpdateする
https://qiita.com/tanuwo/items/04df160281153c0e24bc

結構みんな、公式サイトのinstallation見れば良いよと教えてくれている。
~~どれを見ろとは教えてくれていない。。。~~

Debianのインストール手順参照しました。
Suricata公式サイトのDoc>Suricata installation>Debian install

手順の最後の部分だけメモ

./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
make
make install-full
ldconfig

make install-fullでルールのインストールも出来ているはず。

make install-fullしているので、ほとんどの手順は不要。

sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal

でサクッと起動して完了！！
と思いきや

Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /etc/suricata/rules/tls-events.rules

だって。

確かに/etc/suricata/rules/にtls-events.rulesがいない。
そこで、downloadしたソースパッケージ内のrulesフォルダにtls-events.rulesがいたのでrulesフォルダ内のrulesファイルを全コピーしたところ解決。

再度、起動を試すと

<Warning> - [ERRCODE: SC_ERR_AFP_CREATE(190)] - Using AF_PACKET with GRO or LRO activated can lead to capture problems

GROやLROが有効だと出るエラーらしい。
※GRO/LROは、オフロード方法らしい(<=ちゃんと勉強しなさい)

エラーを絶対に回避する必要があるか分からないけど、気持ち悪いので解決します。
以下のURLを参考にします。
https://ac-as.net/how-to-setting-nic-offload/

ethtoolがねぇので。

apt-get install ethtool
ethtool -k eth0

で見てみると、確かにgeneric-receive-offload: onとなっている。

ethtool -K eth0  gro off

でGROをコロスと上手くいった。
今日はここまで、後は、自動起動と目的に合わせたルールの設定。

コマンドラインでethtoolを叩いただけだと恒久的な設定にはならないので、rc.localに以下の通り追記

/sbin/ethtool -K eth0 gro off