Nakon godinu dana razvoja, Fondacija za otvorenu informacionu sigurnost (OISF) saopšteno kroz post na blogu, izlazak nove verzije Suricata 6.0, koji je mrežni sistem za otkrivanje i sprečavanje upada koji pruža sredstva za inspekciju različitih vrsta prometa.
U ovom novom izdanju predstavljeno je nekoliko vrlo zanimljivih poboljšanja, poput podrške za HTTP / 2, poboljšanja različitih protokola, poboljšanja performansi, između ostalih promjena.
Za one koji ne znaju za meerkat, trebali biste znati da je ovaj softver eZasnovan je na skupu pravila eksterno razvijen za praćenje mrežnog prometa i pružiti upozorenja administratoru sistema kada se pojave sumnjivi događaji.
U konfiguracijama Suricata dozvoljeno je koristiti bazu podataka potpisa razvijenu u projektu Snort, kao i skupove pravila Emerging Threats i Emerging Threats Pro.
Izvorni kod projekta distribuira se pod licencom GPLv2.
Glavne vijesti Suricata 6.0
U ovoj novoj verziji Suricata 6.0 možemo pronaći početna podrška za HTTP / 2 s kojima se uvode nebrojena poboljšanja poput upotrebe jedne veze, kompresije zaglavlja, između ostalog.
pored toga uključena je podrška za RFB i MQTT protokole, uključujući definiciju protokola i mogućnosti evidentiranja.
Takođe performanse registracije su značajno poboljšane putem EVE mehanizma, koji pruža JSON izlaz iz događaja. Ubrzanje se postiže zahvaljujući upotrebi novog JSON generatora sudopera, napisanog na jeziku Rust.
Povećana skalabilnost sistema registracije EVE i implementirali sposobnost održavanja datoteke dnevnika hotela za svako emitiranje.
Takođe, Suricata 6.0 uvodi novi jezik definicije pravila koji dodaje podršku za parametar from_end u ključnoj riječi byte_jump i parametar bitmaske u byte_test. Pored toga, implementirana je ključna riječ pcrexform kako bi se omogućilo regularnim izrazima (pcre) da uhvate podniz.
Sposobnost odražavanja MAC adresa u EVE zapisu i povećanja detalja DNS zapisa.
Of the druge promjene koje se ističu ove nove verzije:
- Dodano pretvaranje urldecode-a. Dodana je ključna riječ byte_math.
- Sposobnost evidentiranja za DCERPC protokol.Sposobnost definiranja uvjeta za izbacivanje informacija u dnevnik.
- Poboljšane performanse motora protoka.
- Podrška za identifikaciju SSH implementacija (HASSH).
- Implementacija dekoder tunela GENEVE.
- Kôd hrđe prepisan za rukovanje ASN.1, DCERPC i SSH. Rust također podržava nove protokole.
- Pružiti mogućnost korištenja cbindgena za stvaranje veza u Rustu i C.
- Dodana početna podrška za dodatak.
Konačno ako želite znati više o tome, detalje možete provjeriti odlaskom na sljedeći link.
Kako instalirati Suricata na Ubuntu?
Da bismo instalirali ovaj uslužni program, to možemo učiniti dodavanjem sljedećeg spremišta u naš sistem. Da biste to učinili, jednostavno upišite sljedeće naredbe:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
U slučaju da imate Ubuntu 16.04 ili imate problema sa zavisnostima, slijedećom naredbom je riješeno:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Instalacija završena, preporuča se onemogućiti bilo koji paket značajki offloead na NIC-u koji Suricata sluša.
Oni mogu onemogućiti LRO / GRO na mrežnom sučelju eth0 pomoću sljedeće naredbe:
sudo ethtool -K eth0 gro off lro off
Meerkat podržava brojne načine rada. Spisak svih načina izvršavanja možemo vidjeti sa sljedećom naredbom:
sudo /usr/bin/suricata --list-runmodes
Standardni način rada koji se koristi je autofp označava "automatsko uravnoteženje opterećenja fiksnog protoka". U ovom načinu rada, paketi iz svakog različitog toka dodjeljuju se jednoj niti otkrivanja. Tokovi su dodijeljeni nitima s najmanjim brojem neprerađenih paketa.
Sada možemo da nastavimo pokrenite Suricata u pcap live modu, koristeći sljedeću naredbu:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal