Suricata è un motore di rete IDS ad alte prestazioni (Sistema di rilevamento delle intrusioni), IPS e sicurezza di rete, sviluppato dall'OISF, questa è un'applicazione open source multipiattaforma e È di proprietà di una fondazione senza scopo di lucro di la comunità di Open Information Security Foundation (OISF).
Si basa su una serie di regole sviluppato esternamente per monitorare il traffico di rete e fornire avvisi all'amministratore di sistema quando si verificano eventi sospetti. Progettato per essere compatibile con i componenti di sicurezza di rete esistenti, offre funzionalità di output unificato e opzioni di libreria collegabili per accettare chiamate da altre applicazioni. In quanto motore multi-thread, offre maggiore velocità ed efficienza nell'analisi del traffico di rete.
Ora è nella sua versione 4.0 con miglioramenti nelle capacità di rilevamento delle intrusioni e anche nel supporto di più protocolli e opzioni, migliorando il motore di flusso TCP e il suo IDS.
Come installare Suricata su Ubuntu?
Come ho già detto, supporta diversi sistemi operativi e Ubuntu non fa eccezione, ha un repository ufficiale che possiamo aggiungere e poter installare sul nostro sistema, basta digitare i seguenti comandi:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
In caso di Ubuntu 16.04 o problemi con le dipendenze, con il seguente comando si risolve:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Installazione eseguita, si consiglia di disabilitare qualsiasi pacchetto di funzionalità offloead sulla scheda NIC che Suricata sta ascoltando.
Possono disabilitare LRO / GRO sull'interfaccia di rete eth0 utilizzando il seguente comando:
sudo ethtool -K eth0 gro off lro off
Meerkat supporta una serie di modalità operative. Possiamo vedere l'elenco di tutte le modalità di esecuzione con il seguente comando:
sudo /usr/bin/suricata --list-runmodes
La modalità di esecuzione predefinita utilizzata è autofp, che sta per "bilanciamento automatico del carico a flusso fisso". In questa modalità, i pacchetti di ogni flusso diverso vengono assegnati a un singolo thread di rilevamento. I flussi vengono assegnati ai thread con il minor numero di pacchetti non elaborati.
Ora possiamo procedere avvia Suricata in modalità live pcap , utilizzando il seguente comando:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal
Se vuoi saperne un po 'di più sulle opzioni che Suricata ci offre, ti lascio questo link dove puoi controllare tutto su questo fantastico software.
Elizabeth Aristizabal Gómez
Ho sempre voluto andare lontano nella vita. ?
e poi come faccio a vedere cosa rileva?