Setelah satu tahun pembangunan, Yayasan Keamanan Informasi Terbuka (OISF) diketahui melalui sebuah posting blog, rilis versi baru Suricata 6.0, yang merupakan sistem deteksi dan pencegahan intrusi jaringan yang menyediakan sarana untuk memeriksa berbagai jenis lalu lintas.
Dalam edisi baru ini beberapa perbaikan yang sangat menarik disajikan, seperti dukungan untuk HTTP / 2, peningkatan berbagai protokol, peningkatan kinerja, dan perubahan lainnya.
Bagi yang belum tahu tentang meerkat, Anda harus tahu bahwa software ini danIni didasarkan pada seperangkat aturan dikembangkan secara eksternal untuk memantau lalu lintas jaringan dan memberikan peringatan kepada administrator sistem bila terjadi peristiwa yang mencurigakan.
Dalam konfigurasi Suricata, diperbolehkan untuk menggunakan database tanda tangan yang dikembangkan oleh proyek Snort, serta set aturan Emerging Threats dan Emerging Threats Pro.
Kode sumber proyek didistribusikan di bawah lisensi GPLv2.
Berita utama Suricata 6.0
Dalam versi baru Suricata 6.0 ini kita dapat menemukan file dukungan awal untuk HTTP / 2 dengan peningkatan yang tak terhitung banyaknya yang diperkenalkan seperti penggunaan koneksi tunggal, kompresi header, dan lain-lain.
Selain itu dukungan untuk protokol RFB dan MQTT disertakan, termasuk definisi protokol dan kemampuan logging.
juga kinerja log meningkat secara signifikan melalui mesin EVE, yang menyediakan keluaran JSON dari peristiwa. Akselerasi dicapai berkat penggunaan generator sink JSON baru, yang ditulis dalam bahasa Rust.
Skalabilitas sistem registrasi EVE meningkat dan menerapkan kemampuan untuk memelihara file log hotel untuk setiap siaran.
Selain itu, Suricata 6.0 memperkenalkan bahasa definisi aturan baru yang menambahkan dukungan untuk parameter from_end di kata kunci byte_jump dan parameter bitmask di byte_test. Selain itu, kata kunci pcrexform telah diterapkan untuk memungkinkan ekspresi reguler (pcre) menangkap substring.
Kemampuan untuk mencerminkan alamat MAC dalam catatan EVE dan meningkatkan detail catatan DNS.
dari perubahan lain yang menonjol dari versi baru ini:
- Menambahkan konversi urldecode. Kata kunci Byte_math ditambahkan.
- Kemampuan pencatatan untuk protokol DCERPC. Kemampuan untuk menentukan kondisi untuk membuang informasi ke dalam log.
- Peningkatan kinerja motor aliran.
- Dukungan untuk mengidentifikasi implementasi SSH (HASSH).
- Penerapan dekoder terowongan GENEVE.
- Kode Rust ditulis ulang untuk menangani ASN.1, DCERPC, dan SSH. Rust juga mendukung protokol baru.
- Memberikan kemampuan untuk menggunakan cbindgen untuk menghasilkan tautan di Rust dan C.
- Menambahkan dukungan plugin awal.
Akhirnya jika Anda ingin tahu lebih banyak tentang itu, Anda dapat memeriksa detailnya dengan pergi ke tautan berikut.
Bagaimana cara menginstal Suricata di Ubuntu?
Untuk menginstal utilitas ini, kita dapat melakukannya dengan menambahkan repositori berikut ke sistem kita. Untuk melakukan ini, cukup ketikkan perintah berikut:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Jika memiliki Ubuntu 16.04 atau mengalami masalah dengan dependensi, dengan perintah berikut ini diselesaikan:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Instalasi selesai, disarankan untuk menonaktifkan paket fitur offloead di NIC yang didengarkan Suricata.
Mereka dapat menonaktifkan LRO / GRO pada antarmuka jaringan eth0 menggunakan perintah berikut:
sudo ethtool -K eth0 gro off lro off
Meerkat mendukung sejumlah mode operasi. Kita bisa melihat daftar semua mode eksekusi dengan perintah berikut:
sudo /usr/bin/suricata --list-runmodes
Mode jalan default yang digunakan adalah autofp singkatan dari "penyeimbangan beban aliran tetap otomatis". Dalam mode ini, paket dari setiap aliran berbeda ditetapkan ke utas deteksi tunggal. Alur ditetapkan ke utas dengan jumlah terendah dari paket yang belum diproses.
Sekarang kita bisa melanjutkan ke mulai Suricata dalam mode live pcap, menggunakan perintah berikut:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal