Сурикат-бягане
La Фондация за отворена информационна сигурност публикува изданието на Suricata 5.0, кое е система за откриване и предотвратяване на проникване в мрежата който предоставя инструменти за проверка на различни видове трафик.
Тя се основава на набор от правила външно развит за наблюдение на мрежовия трафик и да предоставя предупреждения на системния администратор, когато възникнат подозрителни събития. В конфигурациите на Suricata е разрешено да се използва базата данни с подписи, разработена от проекта Snort, както и наборите от правила за Emerging Threats и Emerging Threats Pro. Изходният код на проекта се разпространява под лиценза GPLv2.
Основни новини на Suricata 5.0
В тази нова версия представени са нови модули за анализ и регистрация за протоколи RDP, SNMP и SIP написана на Ръжда. Модулът за FTP анализ има възможност за влизане през подсистемата EVE, която осигурява извеждане на събития във формат JSON.
В допълнение към поддръжката на метода за удостоверяване на клиента TLS JA3 , който се появи в предишната версия, се добавя поддръжка за метода JA3S, който ви позволява да определите какъв софтуер се използва за установяване на връзката въз основа на характеристиките и параметрите за договаряне на връзката, които са установени (например, ви позволява да определите използването на Tor и други типични приложения).
JA3 предоставя възможност за дефиниране на клиенти и JA3S - сървъри. Резултатите от дефиницията могат да се използват в езика на правилата и в регистрите.
Добавен a експериментална способност за сравнение с селекция от големи масиви от данниs, реализирани с помощта на новия набор от данни и операции по обработка на данни. Например функцията е приложима за маски за търсене в големи черни списъци с милиони записи.
В режим на проверка на HTTP всички ситуации, описани в тестовия пакет HTTP Evader, са изцяло покрити (например, обхващат методите, използвани за скриване на злонамерена дейност в трафика).
Инструментите за разработка на модули на езика Rust се пренасят от опциите в категорията на задължителните умения на персонала. В бъдеще се планира да се разшири използването на Rust в основата на кода на проекта и постепенно да се заменят модулите с аналози, разработени в Rust.
Механизмът за дефиниране на протокол е подобрен в областта на повишаване на точността и обработката на асинхронни потоци от трафик.
Добавена е поддръжка за нов тип регистрационни файлове с аномалии в регистъра EVE, в който се съхраняват отклоненията, открити по време на декодиране на пакети. EVE също се разширява с VLAN и интерфейси за улавяне на трафика. Добавена опция за запазване на всички HTTP заглавки в записи на EVE в дневника;
Кодът е пренаписан, за да улови трафик, използвайки рамката на Netmap. Добавена е възможността за използване на разширени функции на Netmap като VALE виртуален превключвател.
Всички използвани Python кодове са тествани за съвместимост с Python 3.
Как да инсталирам Suricata на Ubuntu?
За да инсталираме тази помощна програма, можем да го направим, като добавим следното хранилище към нашата система. За да направите това, просто напишете следните команди:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
В случай, че имате Ubuntu 16.04 или имате проблеми със зависимости, със следната команда е решен:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Инсталацията завършена, Препоръчително е да деактивирате всеки пакет от функции за офлайн на NIC, който Suricata слуша.
Те могат да деактивират LRO / GRO на мрежовия интерфейс eth0, като използват следната команда:
sudo ethtool -K eth0 gro off lro off
Meerkat поддържа редица режими на работа. Можем да видим списъка с всички режими на изпълнение със следната команда:
sudo /usr/bin/suricata --list-runmodes
Използваният режим на изпълнение по подразбиране е autofp означава „автоматично балансиране на натоварването с фиксиран поток“. В този режим пакетите от всеки различен поток се присвояват на една нишка за откриване. Потоците се присвояват на нишките с най-малък брой необработени пакети.
Сега можем да пристъпим към стартирайте Suricata в pcap режим на живо , използвайки следната команда:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal