मीरकैट-रनिंग
La मुक्त सूचना सुरक्षा फाउंडेशन ने सुरीकाटा 5.0 की रिलीज प्रकाशित की है, जो है एक नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली जो विभिन्न प्रकार के यातायात के लिए निरीक्षण उपकरण प्रदान करता है।
यह नियमों के एक सेट पर आधारित है बाह्य रूप से विकसित नेटवर्क ट्रैफिक की निगरानी करना और संदेहास्पद घटनाओं के होने पर सिस्टम व्यवस्थापक को अलर्ट प्रदान करें। Suricata कॉन्फ़िगरेशन में, यह Snort प्रोजेक्ट द्वारा विकसित हस्ताक्षर डेटाबेस के साथ-साथ उभरते खतरों और उभरते खतरों प्रो नियम सेटों का उपयोग करने की अनुमति है। परियोजना का स्रोत कोड GPLv2 लाइसेंस के तहत वितरित किया गया है।
सुरीकाटा 5.0 की मुख्य खबर
इस नए संस्करण में नए विश्लेषण और पंजीकरण मॉड्यूल प्रस्तुत किए गए हैं प्रोटोकॉल के लिए आरडीपी, एसएनएमपी और एसआईपी जंग में लिखा है। एफ़टीपी विश्लेषण के लिए मॉड्यूल ईवीई सबसिस्टम के माध्यम से लॉग इन करने की क्षमता है, जो जेएसएन प्रारूप में घटना आउटपुट प्रदान करता है।
TLS JA3 क्लाइंट प्रमाणीकरण विधि के लिए समर्थन के अलावा पिछले संस्करण में दिखाई दिया, समर्थन JA3S पद्धति के लिए जोड़ा गया है, जो आपको यह निर्धारित करने की अनुमति देता है कि स्थापित किए गए विशेषताओं और कनेक्शन बातचीत मापदंडों के आधार पर कनेक्शन स्थापित करने के लिए किस सॉफ़्टवेयर का उपयोग किया जाता है (उदाहरण के लिए, यह आपको उपयोग निर्धारित करने की अनुमति देता है टोर और अन्य विशिष्ट अनुप्रयोगों के लिए)।
JA3 क्लाइंट और JA3S - सर्वर को परिभाषित करने की क्षमता प्रदान करता है। परिभाषा परिणामों का उपयोग नियम भाषा में और रजिस्टरों में किया जा सकता है।
एक जोड़ा बड़े डेटा सेट के चयन के साथ तुलना करने की प्रयोगात्मक क्षमताs, नए डेटासेट और डेटारेप संचालन का उपयोग करके कार्यान्वित किया गया। उदाहरण के लिए, फ़ंक्शन लाखों प्रविष्टियों के साथ बड़े ब्लैकलिस्ट पर मास्क खोजने के लिए लागू है।
HTTP निरीक्षण मोड में, HTTP Evader परीक्षण सूट में वर्णित सभी स्थितियों को पूरी तरह से कवर किया गया है (उदाहरण के लिए, यह ट्रैफ़िक में दुर्भावनापूर्ण गतिविधि को छिपाने के लिए उपयोग किए जाने वाले तरीकों को शामिल करता है)।
रस्ट भाषा में मॉड्यूल के विकास उपकरण को विकल्प से अनिवार्य कर्मियों के कौशल की श्रेणी में ले जाया जाता है। भविष्य में, यह प्रोजेक्ट कोड बेस में रस्ट के उपयोग का विस्तार करने और धीरे-धीरे रूस्ट में विकसित एनालॉग्स के साथ मॉड्यूल को बदलने की योजना है।
प्रोटोकॉल परिभाषा इंजन को अतुल्यकालिक यातायात प्रवाह की सटीकता और प्रसंस्करण को बढ़ाने के क्षेत्र में सुधार किया गया है।
नए प्रकार के 'विसंगति' लॉग के लिए समर्थन जोड़ा गया ईवीई रजिस्टर में, जिसमें पैकेट डिकोडिंग के दौरान पाए गए आउटलेयर संग्रहीत हैं। ईवीई वीएलएएन और ट्रैफिक कैप्चर इंटरफेस पर भी विस्तार करता है। HTTP ईवीई लॉग प्रविष्टियों में सभी HTTP हेडर को बचाने के लिए जोड़ा गया विकल्प;
नेटमैप ढांचे का उपयोग करके ट्रैफ़िक को पकड़ने के लिए कोड को फिर से लिखा गया है। उन्नत नेटमैप सुविधाओं का उपयोग करने की क्षमता को जोड़ा, जैसे कि VALE वर्चुअल स्विच।
पायथन 3 के साथ संगतता के लिए उपयोग किए गए सभी पायथन कोड का परीक्षण किया गया है।
उबंटू पर सुरिकता कैसे स्थापित करें?
इस उपयोगिता को स्थापित करने के लिए, हम इसे अपने सिस्टम में निम्नलिखित भंडार जोड़कर कर सकते हैं। ऐसा करने के लिए, बस निम्नलिखित कमांड टाइप करें:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
उबंटू 16.04 या निर्भरता की समस्या होने के मामले में, निम्नलिखित कमांड के साथ इसे हल किया गया है:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
स्थापना की गई, यह किसी भी बंद सुविधा पैक को अक्षम करने के लिए अनुशंसित है जिस एनआईसी पर सुरिकता सुन रही है।
वे निम्नलिखित कमांड का उपयोग करके eth0 नेटवर्क इंटरफ़ेस पर LRO / GRO को अक्षम कर सकते हैं:
sudo ethtool -K eth0 gro off lro off
Meerkat कई ऑपरेटिंग मोड का समर्थन करता है। हम निम्नलिखित कमांड के साथ सभी निष्पादन मोड की सूची देख सकते हैं:
sudo /usr/bin/suricata --list-runmodes
डिफॉल्ट रन मोड का उपयोग ऑटोफप "स्वचालित फिक्स्ड फ्लो लोड बैलेंसिंग" के लिए किया जाता है। इस मोड में, प्रत्येक अलग-अलग स्ट्रीम के पैकेट एकल डिटेक्शन थ्रेड को असाइन किए जाते हैं। प्रवाह थ्रेड्स को अनप्रोसेस्ड पैकेटों की सबसे कम संख्या के साथ सौंपा गया है।
अब हम आगे बढ़ सकते हैं सुरकाटा को पीक लाइव मोड में शुरू करें , निम्नलिखित आदेश का उपयोग कर:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal