Έχει κυκλοφορήσει η νέα έκδοση του Suricata 6.0

Darkcrizt

4 λεπτά

Μετά από ένα έτος ανάπτυξης, το Ανοιχτό Ίδρυμα Ασφάλειας Πληροφοριών (OISF) γνωστοποιούνται μέσω μια ανάρτηση ιστολογίου, την κυκλοφορία της νέας έκδοσης του Suricata 6.0, το οποίο είναι ένα σύστημα εντοπισμού και πρόληψης εισβολής δικτύου που παρέχει ένα μέσο για την επιθεώρηση διαφόρων τύπων κυκλοφορίας.

Σε αυτήν τη νέα έκδοση παρουσιάζονται πολλές πολύ ενδιαφέρουσες βελτιώσεις, όπως υποστήριξη για HTTP / 2, βελτιώσεις σε διάφορα πρωτόκολλα, βελτιώσεις απόδοσης, μεταξύ άλλων αλλαγών.

Για όσους δεν γνωρίζουν για το meerkat, πρέπει να γνωρίζετε ότι αυτό το λογισμικό eΒασίζεται σε ένα σύνολο κανόνων αναπτυχθεί εξωτερικά για παρακολούθηση της κυκλοφορίας δικτύου και να παρέχει ειδοποιήσεις στο διαχειριστή του συστήματος όταν υπάρχουν ύποπτα συμβάντα.

Στις διαμορφώσεις Suricata, επιτρέπεται η χρήση της βάσης δεδομένων υπογραφών που αναπτύχθηκε από το έργο Snort, καθώς και των συνόλων κανόνων Emerging Threats and Emerging Threats Pro.

Ο πηγαίος κώδικας του έργου διανέμεται με την άδεια GPLv2.

Κύρια νέα του Suricata 6.0

Σε αυτήν τη νέα έκδοση του Suricata 6.0 μπορούμε να βρούμε το αρχική υποστήριξη για HTTP / 2 με τις οποίες εισάγονται αμέτρητες βελτιώσεις, όπως η χρήση μίας σύνδεσης, η συμπίεση των κεφαλίδων, μεταξύ άλλων.

εκτός αυτού Περιλαμβάνεται υποστήριξη για πρωτόκολλα RFB και MQTT, συμπεριλαμβανομένων των δυνατοτήτων ορισμού πρωτοκόλλου και καταγραφής.

επίσης η απόδοση εγγραφής βελτιώθηκε σημαντικά μέσω του κινητήρα EVE, ο οποίος παρέχει έξοδο JSON από γεγονότα. Η επιτάχυνση επιτυγχάνεται χάρη στη χρήση της νέας γεννήτριας νεροχύτη JSON, γραμμένη στη γλώσσα Rust.

Η επεκτασιμότητα του συστήματος εγγραφής EVE αυξήθηκε και εφάρμοσε τη δυνατότητα συντήρησης ενός αρχείου καταγραφής ξενοδοχείου για κάθε μετάδοση.

Επιπλέον, Το Suricata 6.0 εισάγει μια νέα γλώσσα ορισμού κανόνων που προσθέτει υποστήριξη για την παράμετρο from_end στη λέξη-κλειδί byte_jump και την παράμετρο bitmask στο byte_test. Επιπλέον, η λέξη-κλειδί pcrexform έχει εφαρμοστεί για να επιτρέπει σε κανονικές εκφράσεις (pcre) να καταγράφουν ένα substring.

Η δυνατότητα ανάκλασης διευθύνσεων MAC στην εγγραφή EVE και αύξηση των λεπτομερειών της εγγραφής DNS.

Του άλλες αλλαγές που ξεχωρίζουν αυτής της νέας έκδοσης:

  • Προστέθηκε μετατροπή urldecode. Προστέθηκε λέξη-κλειδί byte_math.
  • Δυνατότητα καταγραφής για το πρωτόκολλο DCERPC. Δυνατότητα καθορισμού συνθηκών για την απόρριψη πληροφοριών στο αρχείο καταγραφής.
  • Βελτιωμένη απόδοση κινητήρα ροής.
  • Υποστήριξη για τον εντοπισμό υλοποιήσεων SSH (HASSH).
  • Εφαρμογή του αποκωδικοποιητή σήραγγας GENEVE.
  • Ο κωδικός Rust ξαναγράφηκε για να χειριστεί ASN.1, DCERPC και SSH. Το Rust υποστηρίζει επίσης νέα πρωτόκολλα.
  • Παρέχετε τη δυνατότητα χρήσης του cbindgen για τη δημιουργία συνδέσμων στο Rust και το C.
  • Προστέθηκε αρχική υποστήριξη προσθηκών.

Τελικά αν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες μεταβαίνοντας στον παρακάτω σύνδεσμο.

Πώς να εγκαταστήσετε το Suricata στο Ubuntu;

Για να εγκαταστήσουμε αυτό το βοηθητικό πρόγραμμα, μπορούμε να το κάνουμε προσθέτοντας το ακόλουθο αποθετήριο στο σύστημά μας. Για να το κάνετε αυτό, απλώς πληκτρολογήστε τις ακόλουθες εντολές:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

Σε περίπτωση που έχετε Ubuntu 16.04 ή έχετε προβλήματα με εξαρτήσεις, με την ακόλουθη εντολή επιλύεται:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Η εγκατάσταση ολοκληρώθηκε, Συνιστάται να απενεργοποιήσετε οποιοδήποτε πακέτο χαρακτηριστικών offloead στο NIC που ακούει η Suricata.

Μπορούν να απενεργοποιήσουν το LRO / GRO στη διεπαφή δικτύου eth0 χρησιμοποιώντας την ακόλουθη εντολή:

sudo ethtool -K eth0 gro off lro off

Το Meerkat υποστηρίζει διάφορους τρόπους λειτουργίας. Μπορούμε να δούμε τη λίστα όλων των τρόπων εκτέλεσης με την ακόλουθη εντολή:

sudo /usr/bin/suricata --list-runmodes

Η προεπιλεγμένη λειτουργία εκτέλεσης που χρησιμοποιείται είναι το autofp σημαίνει "αυτόματη εξισορρόπηση φορτίου σταθερής παροχής". Σε αυτήν τη λειτουργία, τα πακέτα από κάθε διαφορετική ροή αντιστοιχίζονται σε ένα μόνο νήμα ανίχνευσης. Οι ροές αντιστοιχίζονται στα νήματα με τον μικρότερο αριθμό μη επεξεργασμένων πακέτων.

Τώρα μπορούμε να προχωρήσουμε εκκινήστε το Suricata σε ζωντανή λειτουργία pcap, χρησιμοποιώντας την ακόλουθη εντολή:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.