Suricata 4.0 rileva gli intrusi e monitora il traffico di rete

Darkcrizt

minuti 2

Suricata

logo di meerkat

Suricata è un motore di rete IDS ad alte prestazioni (Sistema di rilevamento delle intrusioni), IPS e sicurezza di rete, sviluppato dall'OISF, questa è un'applicazione open source multipiattaforma e È di proprietà di una fondazione senza scopo di lucro di la comunità di Open Information Security Foundation (OISF).

Si basa su una serie di regole sviluppato esternamente per monitorare il traffico di rete e fornire avvisi all'amministratore di sistema quando si verificano eventi sospetti. Progettato per essere compatibile con i componenti di sicurezza di rete esistenti, offre funzionalità di output unificato e opzioni di libreria collegabili per accettare chiamate da altre applicazioni. In quanto motore multi-thread, offre maggiore velocità ed efficienza nell'analisi del traffico di rete.

Ora è nella sua versione 4.0 con miglioramenti nelle capacità di rilevamento delle intrusioni e anche nel supporto di più protocolli e opzioni, migliorando il motore di flusso TCP e il suo IDS.

Come installare Suricata su Ubuntu?

Come ho già detto, supporta diversi sistemi operativi e Ubuntu non fa eccezione, ha un repository ufficiale che possiamo aggiungere e poter installare sul nostro sistema, basta digitare i seguenti comandi:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

In caso di Ubuntu 16.04 o problemi con le dipendenze, con il seguente comando si risolve:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Installazione eseguita, si consiglia di disabilitare qualsiasi pacchetto di funzionalità offloead sulla scheda NIC che Suricata sta ascoltando.

Possono disabilitare LRO / GRO sull'interfaccia di rete eth0 utilizzando il seguente comando:

sudo ethtool -K eth0 gro off lro off

Meerkat supporta una serie di modalità operative. Possiamo vedere l'elenco di tutte le modalità di esecuzione con il seguente comando:

sudo /usr/bin/suricata --list-runmodes
Meerkat in esecuzione

Meerkat-Running

La modalità di esecuzione predefinita utilizzata è autofp, che sta per "bilanciamento automatico del carico a flusso fisso". In questa modalità, i pacchetti di ogni flusso diverso vengono assegnati a un singolo thread di rilevamento. I flussi vengono assegnati ai thread con il minor numero di pacchetti non elaborati.

Ora possiamo procedere avvia Suricata in modalità live pcap , utilizzando il seguente comando:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Se vuoi saperne un po 'di più sulle opzioni che Suricata ci offre, ti lascio questo link dove puoi controllare tutto su questo fantastico software.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Gustavo Adolfo Villegas Gomez suddetto
    fa 7 anni

    Elizabeth Aristizabal Gómez

    Risposta a Gustavo Adolfo Villegas Gómez
    1.    Elizabeth Aristizabal Gómez suddetto
      fa 7 anni

      Ho sempre voluto andare lontano nella vita. ?

      Rispondi a Elizabeth Aristizábal Gómez
  2.   Jorge suddetto
    fa 4 anni

    e poi come faccio a vedere cosa rileva?

    Rispondi a Jorge