A Suricata 4.0 érzékeli a behatolókat és figyeli a hálózati forgalmat

suricata

meerkat logó

suricata egy nagy teljesítményű IDS hálózati motor (Behatolásérzékelő rendszer), Az OISF által kifejlesztett IPS és hálózati biztonság ez egy több platformon átívelő nyílt forráskódú alkalmazás és Tulajdona nonprofit alapítványa az Open Information Security Foundation közösség (OISF).

Szabályhalmazon alapszik külsőleg fejlett a hálózati forgalom figyelemmel kísérésére és gyanús események esetén riasztásokat küldjön a rendszergazdának. Úgy tervezték, hogy kompatibilis legyen meglévő hálózati biztonsági elemekkel, egységes kimeneti funkcionalitást és bedugható könyvtár opciókat kínál más alkalmazásokból érkező hívások fogadásához. Többszálú motorként nagyobb sebességet és hatékonyságot kínál a hálózati forgalom elemzésében.

Most verziója 4.0 a behatolásérzékelő képességek fejlesztésével, valamint további protokollok és opciók támogatásával, a TCP flow motor és annak IDS fejlesztésével.

Hogyan telepítsük a Suricatát az Ubuntu-ra?

Mint említettem, támogatja a különböző operációs rendszereket, és az Ubuntu sem kivétel, van egy hivatalos adattára amelyeket hozzáadhatunk és telepíthetünk a rendszerünkre, csak írja be a következő parancsokat:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

Ubuntu 16.04 vagy függőségekkel kapcsolatos problémák esetén, a következő paranccsal megoldott:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Telepítés kész, ajánlott minden offloead szolgáltatáscsomag letiltása a NIC-en, amelyet Suricata hallgat.

A következő paranccsal letilthatják az LRO / GRO-t az eth0 hálózati interfészen:

sudo ethtool -K eth0 gro off lro off

A Meerkat számos működési módot támogat. Az összes végrehajtási mód listáját a következő paranccsal láthatjuk:

sudo /usr/bin/suricata --list-runmodes
Szurikáta fut

Szurikáta-futás

Az alapértelmezett futtatási mód az autofp az "automatikus fix áramlás-terhelés-kiegyenlítés" kifejezés. Ebben a módban az egyes különböző folyamokból álló csomagok egyetlen detektálási szálhoz vannak hozzárendelve. A folyamatok a legkevesebb feldolgozatlan csomagot tartalmazó szálakhoz vannak hozzárendelve.

Most folytathatjuk indítsa el a Suricatát pcap élő módban , a következő paranccsal:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Ha szeretne egy kicsit részletesebben megismerni a Suricata által kínált lehetőségeket, otthagyom meg ezt a linket ahol mindent megnézhet erről a csodálatos szoftverről.


A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

3 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra.

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   Gustavo Adolfo Villegas Gomez dijo

    Erzsébet Aristizábal Gómez

    1.    Erzsébet Aristizábal Gómez dijo

      Mindig messzire akartam menni az életben. ?

  2.   Jorge dijo

    és akkor hogyan látom, mit észlel?