Arriva la nuova versione di Suricata 5.0, il sistema di rilevamento delle intrusioni di rete

Meerkat in esecuzione

Meerkat-Running

La Open Information Security Foundation ha pubblicato il rilascio di Suricata 5.0, che è un sistema di rilevamento e prevenzione delle intrusioni di rete che fornisce strumenti di ispezione per vari tipi di traffico.

Si basa su una serie di regole sviluppato esternamente per monitorare il traffico di rete e fornire avvisi all'amministratore di sistema quando si verificano eventi sospetti. Nelle configurazioni Suricata, è consentito utilizzare il database delle firme sviluppato dal progetto Snort, nonché le serie di regole Emerging Threats e Emerging Threats Pro. Il codice sorgente del progetto è distribuito sotto licenza GPLv2.

Principali novità di Suricata 5.0

In questa nuova versione vengono presentati nuovi moduli di analisi e registrazione per i protocolli RDP, SNMP e SIP scritto in ruggine. Il modulo per l'analisi FTP ha la possibilità di accedere tramite il sottosistema EVE, che fornisce l'output degli eventi in formato JSON.

Oltre al supporto per il metodo di autenticazione client TLS JA3 che appariva nella versione precedente, viene aggiunto il supporto per il metodo JA3S, che consente di determinare quale software viene utilizzato per stabilire la connessione in base alle caratteristiche e ai parametri di negoziazione della connessione che vengono stabiliti (ad esempio, consente di determinare l'utilizzo di Tor e altre applicazioni tipiche).

JA3 offre la possibilità di definire client e JA3S - server. I risultati della definizione possono essere utilizzati nel linguaggio delle regole e nei registri.

Aggiunto un file capacità sperimentale di confronto con una selezione di grandi set di datis, implementato utilizzando il nuovo set di dati e le operazioni datarep. Ad esempio, la funzione è applicabile alle maschere di ricerca su grandi blacklist con milioni di voci.

Nella modalità di ispezione HTTP, tutte le situazioni descritte nella suite di test HTTP Evader sono completamente coperte (ad esempio, copre i metodi utilizzati per nascondere attività dannose nel traffico).

Gli strumenti di sviluppo per i moduli in linguaggio Rust vengono trasferiti dalle opzioni alla categoria delle competenze del personale obbligatorie. In futuro, si prevede di espandere l'uso di Rust nella base del codice del progetto e di sostituire gradualmente i moduli con analoghi sviluppati in Rust.

Il motore di definizione del protocollo è stato migliorato nel campo dell'aumento della precisione e dell'elaborazione dei flussi di traffico asincroni.

Aggiunto supporto per un nuovo tipo di log di "anomalia" nel registro EVE, in cui vengono memorizzati i valori anomali rilevati durante la decodifica del pacchetto. EVE si espande anche su VLAN e interfacce di cattura del traffico. Aggiunta opzione per salvare tutte le intestazioni HTTP nelle voci di registro HTTP EVE;

Il codice è stato riscritto per catturare il traffico utilizzando il framework Netmap. Aggiunta la possibilità di utilizzare funzionalità avanzate di Netmap come uno switch virtuale VALE.

Tutto il codice Python utilizzato viene testato per la compatibilità con Python 3.

Come installare Suricata su Ubuntu?

Per installare questa utility, possiamo farlo aggiungendo il seguente repository al nostro sistema. Per fare ciò, digita semplicemente i seguenti comandi:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

In caso di Ubuntu 16.04 o problemi con le dipendenze, con il seguente comando si risolve:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Installazione eseguita, si consiglia di disabilitare qualsiasi pacchetto di funzionalità offloead sulla scheda NIC che Suricata sta ascoltando.

Possono disabilitare LRO / GRO sull'interfaccia di rete eth0 utilizzando il seguente comando:

sudo ethtool -K eth0 gro off lro off

Meerkat supporta una serie di modalità operative. Possiamo vedere l'elenco di tutte le modalità di esecuzione con il seguente comando:

sudo /usr/bin/suricata --list-runmodes

La modalità di esecuzione predefinita utilizzata è autofp, che sta per "bilanciamento automatico del carico a flusso fisso". In questa modalità, i pacchetti di ogni flusso diverso vengono assegnati a un singolo thread di rilevamento. I flussi vengono assegnati ai thread con il minor numero di pacchetti non elaborati.

Ora possiamo procedere avvia Suricata in modalità live pcap , utilizzando il seguente comando:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.