Pärast aastast arengut on Avatud Infoturbefond (OISF) kaudu teatavaks tehtud blogipostitus, Suricata 6.0 uue versiooni väljaandmine, mis on võrgu sissetungimise tuvastamise ja ennetamise süsteem, mis pakub vahendeid eri liiki liikluse kontrollimiseks.
Selles uues väljaandes esitatakse mitu üsna huvitavat täiustust, näiteks HTTP / 2 tugi, erinevate protokollide täiustused, jõudluse täiustused, muu hulgas.
Neile, kes surikaadist ei tea, peaksite teadma, et see tarkvara eSee põhineb reeglite kogumil väliselt arenenud võrguliikluse jälgimiseks ja kahtlaste sündmuste korral süsteemiadministraatorile hoiatusi edastama.
Suricata konfiguratsioonides on lubatud kasutada projekti Snort väljatöötatud allkirjade andmebaasi, samuti reeglikomplekte Emerging Threats ja Emerging Threats Pro.
Projekti lähtekoodi levitatakse GPLv2 litsentsi alusel.
Suricata 6.0 peamised uudised
Selles Suricata 6.0 uues versioonis leiame esmane tugi HTTP / 2-le millega luuakse lugematuid täiustusi, näiteks ühe ühenduse kasutamine, muu hulgas päiste tihendamine.
peale selle kaasati RFB ja MQTT protokollide tugi, sealhulgas protokolli määratlus ja logimisvõimalused.
ka registreerimisvõime paranes märkimisväärselt EVE mootori kaudu, mis pakub JSON-i väljundit sündmustest. Kiirendus saavutatakse uue roostekeelega kirjutatud JSON valamugeneraatori abil.
EVE registreerimissüsteemi mastaapsus suurenes ja rakendas võimalust säilitada iga saate jaoks hotelli logifail.
Lisaks Suricata 6.0 tutvustab uut reeglite määratluse keelt mis lisab parameetri from_end parameetri byte_jump märksõnale ja bitmaski parameetri byte_test. Lisaks on rakendatud märksõna pcrexform, mis võimaldab regulaaravaldistel (pcre) alamstringi hõivata.
Võimalus kajastada EVE kirjes MAC-aadresse ja suurendada DNS-kirje üksikasju.
Kohta muud silma paistvad muudatused selle uue versiooni:
- Lisatud URL-koodide teisendamine. Lisatud byte_math märksõna.
- DCERPC-protokolli logimisvõimalus. Võime määratleda tingimused logi lisamiseks.
- Parem voolumootori jõudlus.
- SSH-rakenduste (HASSH) tuvastamise tugi.
- GENEVE tunnelidekoodri juurutamine.
- Roostekood on ümber kirjutatud ASN.1, DCERPC ja SSH käitlemiseks. Rust toetab ka uusi protokolle.
- Pakkuge võimalust kasutada cbindgeni linkide loomiseks Rustis ja C-s.
- Lisatud esialgne pistikprogrammi tugi.
Lõpuks kui soovite selle kohta rohkem teada saada, saate üksikasju kontrollida minnes järgmisele lingile.
Kuidas Suricata Ubuntu installida?
Selle utiliidi installimiseks saame seda teha, lisades oma süsteemi järgmise hoidla. Selleks sisestage lihtsalt järgmised käsud:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Juhul, kui teil on Ubuntu 16.04 või kui teil on probleeme sõltuvustega, järgmise käsuga on see lahendatud:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Paigaldus tehtud, on soovitatav keelata mis tahes offlainitud funktsioonipakett Suricata kuulataval võrguvõrgul.
Nad saavad võrgu eth0 võrgus LXNUMX / GRO keelata järgmise käsu abil:
sudo ethtool -K eth0 gro off lro off
Meerkat toetab mitut töörežiimi. Kõigi käivitamisrežiimide loendit näeme järgmise käsuga:
sudo /usr/bin/suricata --list-runmodes
Vaikimisi kasutatav töörežiim on autofp tähendab "automaatset fikseeritud voolu koormuse tasakaalustamist". Selles režiimis määratakse igast erinevast voost paketid ühele tuvastamisniidile. Vood määratakse lõimedele, kus on kõige vähem töötlemata pakette.
Nüüd saame jätkata käivitage Suricata pcap live-režiimis, kasutades järgmist käsku:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal