La Az Open Information Security Foundation közzétette a Suricata 5.0 kiadását, ami hálózati behatolás-észlelő és -megelőző rendszer amely ellenőrzési eszközöket biztosít a különféle forgalomtípusokhoz.
Szabályhalmazon alapszik külsőleg fejlett a hálózati forgalom figyelemmel kísérésére és gyanús események esetén riasztásokat küldjön a rendszergazdának. A Suricata-konfigurációkban megengedett a Snort projekt által kifejlesztett aláírási adatbázis, valamint az Emerging Threes and Emerging Threats Pro szabálykészletek használata. A projekt forráskódját a GPLv2 licenc alatt terjesztik.
A Suricata 5.0 legfőbb hírei
Ebben az új verzióban új elemzési és regisztrációs modulok kerülnek bemutatásra protokollokhoz RDP, SNMP és SIP Rust-ban írva. Az FTP elemzés modul képes bejelentkezni az EVE alrendszeren keresztül, amely az esemény kimenetét JSON formátumban biztosítja.
A TLS JA3 kliens hitelesítési módszer támogatása mellett az előző verzióban megjelent támogatással bővült a JA3S módszer, amely lehetővé teszi, hogy a létrehozott jellemzők és csatlakozási egyeztetési paraméterek alapján meghatározza, hogy milyen szoftverrel hozzák létre a kapcsolatot (például lehetővé teszi a használat Tor és egyéb tipikus alkalmazások).
A JA3 lehetővé teszi az ügyfelek és a JA3S - szerverek meghatározását. A definíció eredményei felhasználhatók a szabályok nyelvén és a regiszterekben.
Hozzáadva a kísérleti képesség összehasonlítani nagy adathalmazok válogatásávals, az új adatkészlet és adatkészítési műveletek segítségével valósult meg. Például a funkció a nagy feketelistákon található, több millió bejegyzést tartalmazó keresőmaszkokra alkalmazható.
HTTP-ellenőrzési módban a HTTP Evader tesztcsomagban leírt összes helyzet teljes körűen lefedett (például a rosszindulatú tevékenységek forgalomban történő elrejtésére használt módszerekre terjed ki).
A Rust nyelvű modulok fejlesztőeszközeit az opcióktól a kötelező személyzeti készségek kategóriájáig viszik át. A jövőben tervezik a Rust használatának kiterjesztését a projektkódban, és a modulok fokozatos cseréjét a Rustban kifejlesztett analógokra.
A protokolldefiníciós motort továbbfejlesztették az aszinkron forgalmi áramlások pontosságának és feldolgozásának növelése terén.
Támogatás új típusú „anomália” naplókhoz az EVE regiszterben, amelyben a csomag dekódolása során észlelt kiugró értékek tárolódnak. Az EVE kibővíti a VLAN-okat és a forgalom-elfogási felületeket is. Hozzáadott opció az összes HTTP fejléc mentésére a http EVE naplóbejegyzésekbe;
A kód át lett írva, hogy a Netmap keretrendszer segítségével rögzítse a forgalmat. Hozzáadta a fejlett Netmap funkciók, például a VALE virtuális kapcsoló használatának lehetőségét.
Minden felhasznált Python-kód kompatibilitását tesztelik a Python 3-mal.
Hogyan telepítsük a Suricatát az Ubuntu-ra?
Ennek a segédprogramnak a telepítéséhez megtehetjük, ha a következő adattárat hozzáadjuk rendszerünkhöz. Ehhez egyszerűen írja be a következő parancsokat:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Ubuntu 16.04 vagy függőségekkel kapcsolatos problémák esetén, a következő paranccsal megoldott:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Telepítés kész, ajánlott minden offloead szolgáltatáscsomag letiltása a NIC-en, amelyet Suricata hallgat.
A következő paranccsal letilthatják az LRO / GRO-t az eth0 hálózati interfészen:
sudo ethtool -K eth0 gro off lro off
A Meerkat számos működési módot támogat. Az összes végrehajtási mód listáját a következő paranccsal láthatjuk:
sudo /usr/bin/suricata --list-runmodes
Az alapértelmezett futtatási mód az autofp az "automatikus fix áramlás-terhelés-kiegyenlítés" kifejezés. Ebben a módban az egyes különböző folyamokból álló csomagok egyetlen detektálási szálhoz vannak hozzárendelve. A folyamatok a legkevesebb feldolgozatlan csomagot tartalmazó szálakhoz vannak hozzárendelve.
Most folytathatjuk indítsa el a Suricatát pcap élő módban , a következő paranccsal:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal