Panduan Install Suricata untuk Keamanan Jaringan
Oleh
Fitri Aulia
Di tengah dunia digital yang terus berkembang, menjaga keamanan jaringan jadi salah satu langkah penting untuk memastikan layanan tetap stabil dan terpercaya. Dengan bantuan IDS/IPS seperti Suricata, kita bisa memantau traffic dan mendeteksi ancaman secara cepat. Pada panduan ini akan membahas cara instalasi Suricata di Ubuntu, lengkap dengan tips konfigurasi dan optimasi supaya jaringan tetap aman dan performanya maksimal.
Apa itu Suricata dan Keunggulannya?
Suricata adalah alat open-source yang berfungsi sebagai IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Tool ini digunakan untuk memantau traffic jaringan serta mendeteksi serangan yang berpotensi mengganggu stabilitas sistem. Dikembangkan oleh OISF, Suricata dapat berjalan di berbagai sistem operasi seperti Linux, Windows, dan BSD. Dengan kemampuan mendeteksi ancaman seperti DDoS, malware, dan serangan lainnya, Suricata menjadi salah satu tools yang bisa diandalkan untuk lingkungan server modern.
Keunggulan Suricata:
- Deteksi Traffic Jaringan yang Cepat dan Akurat
Suricata memanfaatkan multi-threading untuk memproses paket secara paralel, sehingga performanya tetap optimal meskipun traffic sedang padat. - Dukungan untuk Berbagai Protokol
Tidak hanya protokol umum seperti HTTP dan TCP, Suricata juga dapat menganalisis DNS, FTP, SSH, dan protokol lainnya, membuatnya fleksibel untuk berbagai kebutuhan jaringan. - Pencatatan dan Logging yang Lengkap
Suricata menggunakan format EVE JSON yang mudah dibaca dan sangat cocok untuk integrasi dengan tools analisis maupun platform visualisasi. - Mendukung Integrasi dengan Tools Keamanan Lain
Suricata dapat bekerja bersama sistem lain seperti Zeek dan berbagai solusi SIEM untuk membangun ekosistem keamanan yang lebih komprehensif. - Komunitas dan Dukungan yang Aktif
Karena bersifat open-source, Suricata mendapat dukungan besar dari komunitas global. Pembaruan rutin dan dokumentasi resmi yang lengkap membuatnya mudah dipelajari dan diimplementasikan.
Perbedaan Mode IDS dan IPS di Suricata
Sumber: Suricata.io
Suricata bisa dijalankan dalam dua mode utama yaitu IDS dan IPS. Keduanya sama-sama bekerja untuk mendeteksi ancaman, tapi cara kerjanya cukup berbeda. Dalam mode IDS, Suricata hanya bertugas memonitor traffic dan mencatat aktivitas mencurigakan di log. Mode ini aman dipakai untuk server mana pun karena tidak mengubah traffic apa pun—Suricata hanya mengamati dan memberi peringatan. Biasanya sysadmin menggunakan mode IDS untuk analisis awal atau lingkungan yang tidak boleh mengubah jalur traffic.
Sementara itu, mode IPS bekerja lebih jauh. Selain memonitor traffic, Suricata juga bisa langsung memblokir, menjatuhkan paket, atau menghentikan koneksi yang dianggap berbahaya. Mode ini biasanya digunakan ketika server sudah membutuhkan perlindungan aktif, bukan sekadar deteksi. Karena Suricata mengontrol alur traffic secara langsung, mode IPS butuh konfigurasi jaringan dan resource yang sedikit lebih matang agar performa tetap stabil.
Pemilihan mode IDS atau IPS tergantung kebutuhan. Kalau DomaiNesians ingin memantau aktivitas tanpa memodifikasi traffic, mode IDS sudah cukup. Tapi kalau ingin perlindungan yang lebih agresif dan otomatis mencegah serangan, mode IPS menjadi pilihan yang lebih tepat.
Langkah Instalasi Suricata di Ubuntu
Berikut adalah step-step untuk instalasi Suricata di Ubuntu:
1. Tambahkan Repository Suricata
Untuk mendapatkan versi terbaru Suricata, tambahkan repository resmi dari OISF. Pakai perintah berikut untuk menambah repository dan import GPG key:
|
1 2 |
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update |
2. Instal Paket Suricata
Setelah repository ditambahkan, instal Suricata dengan:
|
1 |
sudo apt install suricata -y |
3. Verifikasi Instalasi
Pastikan instalasi berhasil dengan mengecek versinya:
|
1 2 3 |
suricata --V #Jika berhasil, akan menampilkan output seperti: Suricata version 6.0.0 (rev 1fd8551) |
4. Unduh dan Update Rules Suricata
Suricata menggunakan rules untuk mendeteksi ancaman. Untuk mengambil rules default:
|
1 |
sudo suricata-update |
Jika ingin menggunakan sumber rules lain, konfigurasi dapat disesuaikan.
5. Konfigurasi Suricata
Konfigurasi utama Suricata ada di /etc/suricata/suricata.yaml. Edit sesuai kebutuhan:
|
1 |
sudo nano /etc/suricata/suricata.yaml |
Konfigurasi yang bisa disesuaikan:
- interface: Tentukan interface jaringan yang ingin dipantau misalnya eth0.
- output-log: Atur lokasi file log, default-nya ada di /var/log/suricata.
6. Menjalankan Suricata
Jalankan Suricata dalam mode IDS:
|
1 |
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 |
Gantilah eth0 sesuai interface di server. Untuk membuat Suricata otomatis berjalan saat boot:
|
1 2 |
sudo systemctl enable suricata sudo systemctl start suricata |
7. Verifikasi dan Monitor Suricata
|
1 2 3 4 |
# Cek status service: sudo systemctl status suricata # Untuk memantau log secara real-time: tail -f /var/log/suricata/suricata.log |
8. Menjalankan Suricata di Background
Jalankan sebagai daemon:
|
1 |
sudo suricata -D -c /etc/suricata/suricata.yaml -i eth0 |
9. Memperbarui dan Mengelola Suricata
Update rules secara berkala:
|
1 2 |
sudo suricata-update sudo apt upgrade suricata |
Optimasi Suricata
Berikut beberapa langkah dan tips optimasi Suricata:
1. Gunakan Mode af-packet untuk Performa Maksimal
AF-Packet adalah metode capture yang paling optimal di Linux karena mampu memproses paket dengan tingkat efisiensi lebih tinggi dibandingkan metode lain seperti pcap. Pastikan konfigurasi AF-Packet diaktifkan di suricata.yaml:
|
1 2 3 4 5 |
af-packet:   - interface: eth0 # Ganti dengan interface yang dipakai     threads: auto   # Menggunakan jumlah thread otomatis sesuai core CPU     cluster-id: 99  # ID cluster untuk multi-threading     cluster-type: cluster_flow |
2. Hindari Pemrosesan Paket Berlebihan
Beberapa konfigurasi bisa membantu meringankan beban Suricata, terutama pada traffic besar. Namun, opsi seperti max-packet-count biasanya digunakan untuk debugging atau testing. Jika tujuanmu adalah membatasi load, lebih baik optimasi thread, queue, dan flow timeout seperti di atas.
3. Gunakan Hardware Acceleration
Jika server menggunakan NIC yang mendukung fitur seperti packet offloading, RSS, atau FPGA-based acceleration, fitur ini bisa membantu meningkatkan performa Suricata. Pastikan hardware acceleration diaktifkan melalui konfigurasi NIC atau driver.Â
4. Sesuaikan Jumlah Thread dan Core CPU
Buka file konfigurasi /etc/suricata/suricata.yaml dan cari bagian yang mengatur jumlah thread untuk pemrosesan paket. Sesuaikan dengan jumlah core CPU.
|
1 2 |
af-packet:   threads: auto # "auto" untuk otomatis menyesuaikan dengan jumlah core |
Jika menggunakan lebih dari satu core, bisa atur cpu-affinity untuk pastikan thread tertentu berjalan di core yang optimal.
|
1 2 3 |
af-packet:   threads: auto   cpu-affinity: true |
5. Optimalkan Penggunaan Memori
Jika server memiliki memori terbatas, beberapa parameter bisa disesuaikan:
Mengatur memori untuk flow:
|
1 2 3 4 |
detection-queues: Â Â flow: Â Â Â Â max-flow-mem: 20000000Â # Atur memori untuk flow yang lebih kecil flow-timeout: 60Â # Waktu penyimpanan flow dalam detik |
Menggunakan Suricata Secara Efektif
Suricata jadi salah satu pilihan tepat untuk perlindungan jaringan yang responsif dan bisa diandalkan. Proses instalasi, update rules, sampai konfigurasi dasarnya juga cukup mudah diikuti di Ubuntu, jadi siapa pun bisa mulai memperkuat keamanan server. Dengan kemampuan deteksi real-time dan dukungan protokol yang luas, Suricata bisa memberi grafik yang lebih jelas tentang aktivitas di jaringan.
Kalau DomaiNesians butuh performa yang lebih stabil, menjalankan Suricata di Cloud VPSÂ Turbo bisa jadi langkah yang tepat. Resource yang lebih kuat dan konsisten bikin Suricata punya ruang kerja lebih lega. Dengan kombinasi konfigurasi yang benar dan infrastruktur yang mendukung, sistem keamanan jaringan bisa berjalan lebih optimal dan siap menghadapi berbagai potensi serangan.
Fitri Aulia
Hi! I'm a tech enthusiast who loves digging into how things work, especially in web development, VPS setups, and anything open-source.
