تم إطلاق الإصدار الجديد من Suricata 6.0

بعد عام من التطوير ، تم إصدار مؤسسة أمن المعلومات المفتوحة (المنظمة الدولية للأمن الإسلامي) معروف من خلال مشاركة مدونة ، إصدار الإصدار الجديد من Suricata 6.0، وهو نظام للكشف عن التسلل في الشبكة والوقاية منه يوفر وسيلة لفحص أنواع مختلفة من حركة المرور.

في هذه الطبعة الجديدة يتم تقديم العديد من التحسينات المثيرة للاهتمام، مثل دعم HTTP / 2 ، وتحسين البروتوكولات المختلفة ، وتحسين الأداء ، من بين تغييرات أخرى.

بالنسبة لأولئك الذين لا يعرفون عن السرقاط ، يجب أن تعلموا أن هذا البرنامج هيقوم على مجموعة من القواعد مطور خارجيا لمراقبة حركة مرور الشبكة وتقديم تنبيهات لمسؤول النظام عند وقوع أحداث مريبة.

في تكوينات Suricata ، يُسمح باستخدام قاعدة بيانات التوقيع التي طورها مشروع Snort ، بالإضافة إلى مجموعات قواعد التهديدات الناشئة والتهديدات الناشئة.

يتم توزيع الكود المصدري للمشروع بموجب ترخيص GPLv2.

الأخبار الرئيسية من Suricata 6.0

في هذا الإصدار الجديد من Suricata 6.0 ، يمكننا العثور على ملف الدعم الأولي لـ HTTP / 2 مع إدخال تحسينات لا حصر لها مثل استخدام اتصال واحد وضغط الرؤوس ، من بين أشياء أخرى.

إلى جانب ذلك تم تضمين دعم بروتوكولات RFB و MQTT ، بما في ذلك تعريف البروتوكول وقدرات التسجيل.

أيضا تم تحسين أداء التسجيل بشكل ملحوظ عبر محرك EVE ، والذي يوفر إخراج JSON من الأحداث. يتم تحقيق التسارع بفضل استخدام مولد الحوض JSON الجديد ، المكتوب بلغة Rust.

زيادة قابلية تطوير نظام تسجيل EVE ونفذت القدرة على الاحتفاظ بملف سجل الفندق لكل بث.

وبالإضافة إلى ذلك، يقدم Suricata 6.0 لغة جديدة لتعريف القواعد الذي يضيف دعمًا للمعامل from_end في الكلمة الأساسية byte_jump ومعامل bitmask في byte_test. بالإضافة إلى ذلك ، تم تنفيذ الكلمة الأساسية pcrexform للسماح للتعبيرات العادية (pcre) بالتقاط سلسلة فرعية.

القدرة على عكس عناوين MAC في سجل EVE وزيادة تفاصيل سجل DNS.

من التغييرات الأخرى التي تبرز من هذا الإصدار الجديد:

  • تمت إضافة تحويل urldecode. تمت إضافة الكلمة الأساسية Byte_math.
  • القدرة على التسجيل لبروتوكول DCERPC. القدرة على تحديد الشروط لتفريغ المعلومات في السجل
  • تحسين أداء محرك التدفق.
  • دعم لتحديد تطبيقات SSH (HASSH).
  • تنفيذ مفكك ترميز نفق GENEVE.
  • تمت إعادة كتابة كود Rust للتعامل مع ASN.1 و DCERPC و SSH. يدعم Rust أيضًا البروتوكولات الجديدة.
  • توفير القدرة على استخدام cbindgen لإنشاء روابط في Rust و C.
  • تمت إضافة دعم البرنامج المساعد الأولي.

أخيرا إذا كنت تريد معرفة المزيد عنها ، يمكنك التحقق من التفاصيل من خلال الذهاب للرابط التالي.

كيفية تثبيت Suricata على أوبونتو؟

لتثبيت هذه الأداة ، يمكننا القيام بذلك عن طريق إضافة المستودع التالي إلى نظامنا. للقيام بذلك ، ما عليك سوى كتابة الأوامر التالية:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

في حالة وجود Ubuntu 16.04 أو وجود مشاكل في التبعياتيتم حلها بالأمر التالي:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

تم التثبيت ، يوصى بتعطيل أي حزمة ميزات بدون قراءة على NIC التي يستمع إليها Suricata.

يمكنهم تعطيل LRO / GRO على واجهة شبكة eth0 باستخدام الأمر التالي:

sudo ethtool -K eth0 gro off lro off

تدعم ميركات عددًا من أوضاع التشغيل. يمكننا رؤية قائمة بجميع أوضاع التنفيذ بالأمر التالي:

sudo /usr/bin/suricata --list-runmodes

وضع التشغيل الافتراضي المستخدم هو autofp لتقف على "موازنة تلقائية لحمل التدفق الثابت". في هذا الوضع ، يتم تعيين الحزم من كل تدفق مختلف إلى مؤشر ترابط واحد للكشف. يتم تعيين التدفقات إلى المواضيع ذات أقل عدد من الحزم غير المعالجة.

الآن يمكننا المضي قدما إلى بدء Suricata في الوضع المباشر pcapباستخدام الأمر التالي:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.