Meerkat-løb
La Open Information Security Foundation har offentliggjort frigivelsen af Suricata 5.0, som er et system til afsløring og forebyggelse af netværk som giver inspektionsværktøjer til forskellige typer trafik.
Det er baseret på et sæt regler eksternt udviklet for at overvåge netværkstrafik og give advarsler til systemadministratoren, når mistænkelige hændelser opstår. I Suricata-konfigurationer er det tilladt at bruge signaturdatabasen, der er udviklet af Snort-projektet, samt Regelsæt Emerging Threats og Emerging Threats Pro. Kildekoden til projektet distribueres under GPLv2-licensen.
Vigtigste nyheder om Suricata 5.0
I denne nye version nye analyse- og registreringsmoduler præsenteres til protokoller RDP, SNMP og SIP skrevet i Rust. Modulet til FTP-analyse har mulighed for at logge ind via EVE-undersystemet, som giver hændelsesoutput i JSON-format.
Ud over support til TLS JA3-klientgodkendelsesmetoden der dukkede op i den forrige version, tilføjes support til JA3S-metoden, som giver dig mulighed for at bestemme, hvilken software der bruges til at etablere forbindelsen baseret på de karakteristika og forbindelsesforhandlingsparametre, der er etableret (for eksempel giver det dig mulighed for at bestemme brugen af Tor og andre typiske applikationer).
JA3 giver mulighed for at definere klienter og JA3S - servere. Definitionsresultaterne kan bruges på regelsproget og i registre.
Tilføjet en eksperimentel evne til at sammenligne med et udvalg af store datasæts, implementeret ved hjælp af det nye datasæt og datarep-operationer. Funktionen kan f.eks. Anvendes til søgemasker på store sortlister med millioner af poster.
I HTTP-inspektionstilstand er alle de situationer, der er beskrevet i HTTP Evader-testpakke, fuldt dækket (for eksempel dækker det de metoder, der bruges til at skjule ondsindet aktivitet i trafikken).
Udviklingsværktøjerne til moduler på Rust-sproget overføres fra valgmulighederne til kategorien obligatoriske personalefærdigheder. I fremtiden er det planlagt at udvide brugen af Rust i projektkodebasen og gradvis erstatte modulerne med analoger udviklet i Rust.
Protokoldefinitionsmotoren er blevet forbedret inden for forøgelse af nøjagtigheden og behandlingen af asynkrone trafikstrømme.
Tilføjet support til en ny type 'anomali' logfiler i EVE-registret, hvor de outliers, der detekteres under pakkeafkodning, er lagret. EVE udvider også VLAN'er og trafikoptagelsesgrænseflader. Tilføjet mulighed for at gemme alle HTTP-overskrifter i http EVE-logposter;
Koden er blevet omskrevet for at fange trafik ved hjælp af Netmap-rammen. Tilføjet muligheden for at bruge avancerede Netmap-funktioner såsom en VALE virtuel switch.
Al anvendt Python-kode er testet for kompatibilitet med Python 3.
Sådan installeres Suricata på Ubuntu?
For at installere dette værktøj kan vi gøre det ved at tilføje følgende lager til vores system. For at gøre dette skal du blot skrive følgende kommandoer:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
I tilfælde af at have Ubuntu 16.04 eller har problemer med afhængigheder, med følgende kommando er det løst:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Installation udført, Det anbefales at deaktivere enhver offloead-funktionspakke på NIC, som Suricata lytter til.
De kan deaktivere LRO / GRO på eth0-netværksgrænsefladen ved hjælp af følgende kommando:
sudo ethtool -K eth0 gro off lro off
Meerkat understøtter en række driftstilstande. Vi kan se listen over alle udførelsestilstande med følgende kommando:
sudo /usr/bin/suricata --list-runmodes
Den anvendte standardkørselstilstand er autofp står for "automatisk afbalancering af fast flowbelastning". I denne tilstand tildeles pakker fra hver anden strøm til en enkelt detektionstråd. Strømmene tildeles trådene med det laveste antal ubehandlede pakker.
Nu kan vi gå videre til start Suricata i pcap live-tilstand ved hjælp af følgende kommando:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal