לאחר שנה של התפתחות, קרן אבטחת מידע פתוחה (OISF) הוכרז באמצעות פוסט בבלוג, המהדורה החדשה של Suricata 6.0, שהיא מערכת לגילוי ומניעת פריצות רשת המספקת אמצעי לבדיקת סוגים שונים של תעבורה.
במהדורה החדשה הזו מוצגים מספר שיפורים מעניינים מאוד, כגון תמיכה ב- HTTP / 2, שיפורים בפרוטוקולים שונים, שיפורי ביצועים, בין היתר.
למי שלא יודע על סוריקטה, כדאי שתדע שתוכנה זו למשלזה מבוסס על מערכת כללים מפותח חיצונית לניטור תעבורת הרשת ולספק התראות למנהל המערכת כאשר מתרחשים אירועים חשודים.
בתצורות של Suricata, מותר להשתמש במאגר החתימות שפותח על ידי פרויקט Snort, וכן במערכי הכללים ProEtrings ו- Emerging Threats Pro.
קוד המקור של הפרויקט מופץ ברישיון GPLv2.
החדשות העיקריות של Suricata 6.0
בגרסה חדשה זו של Suricata 6.0 אנו יכולים למצוא את תמיכה ראשונית ב- HTTP / 2 שבעזרתם מוצגים אינספור שיפורים כמו שימוש בחיבור יחיד, דחיסת כותרות, בין היתר.
חוץ מזה נכללה תמיכה בפרוטוקולי RFB ו- MQTT, כולל הגדרת פרוטוקול ויכולות רישום.
גם ביצועי הרישום שופרו משמעותית באמצעות מנוע EVE, המספק תפוקת JSON מאירועים. האצה מושגת בזכות השימוש בגנרטור הכיור JSON החדש, שנכתב בשפת Rust.
יכולת ההרחבה של מערכת הרישום EVE גדלה והטמיע את היכולת לשמור קובץ יומן מלונות עבור כל שידור.
בנוסף, Suricata 6.0 מציג שפת הגדרת כללים חדשה שמוסיף תמיכה לפרמטר from_end במילת המפתח byte_jump ולפרמטר bitmask ב- byte_test. בנוסף, מילת המפתח pcrexform יושמה כדי לאפשר לביטויים רגולריים (pcre) ללכוד תשתית.
היכולת לשקף כתובות MAC ברשומת EVE ולהגדיל את פירוט רשומת ה- DNS.
של שינויים אחרים הבולטים של הגרסה החדשה הזו:
- נוספה המרת urldecode. נוספה מילת מפתח byte_math.
- יכולת רישום לפרוטוקול DCERPC. היכולת להגדיר תנאים לזריקת מידע ליומן.
- ביצועי מנוע זרימה משופרים.
- תמיכה בזיהוי יישומי SSH (HASSH).
- יישום מפענח המנהרות GENEVE.
- קוד חלודה שוחזר לטיפול ASN.1, DCERPC ו- SSH. חלודה תומכת גם בפרוטוקולים חדשים.
- ספק את היכולת להשתמש ב- cbindgen כדי ליצור קישורים ב- Rust ו- C.
- נוסף תמיכה ראשונית בתוספים.
בסופו של דבר אם אתה רוצה לדעת יותר על זה, אתה יכול לבדוק את הפרטים על ידי מעבר לקישור הבא.
כיצד להתקין את Suricata באובונטו?
כדי להתקין כלי עזר זה, אנו יכולים לעשות זאת על ידי הוספת המאגר הבא למערכת שלנו. לשם כך, פשוט הקלד את הפקודות הבאות:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
במקרה שיש אובונטו 16.04 או שיש לך בעיות עם תלות, עם הפקודה הבאה היא נפתרת:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
ההתקנה בוצעה, מומלץ להשבית כל חבילת תכונות לא מקוונת ב- NIC שסוריקטה מאזין לה.
הם יכולים להשבית את LRO / GRO בממשק הרשת eth0 באמצעות הפקודה הבאה:
sudo ethtool -K eth0 gro off lro off
Meerkat תומך במספר מצבי הפעלה. אנו יכולים לראות את הרשימה של כל מצבי הביצוע עם הפקודה הבאה:
sudo /usr/bin/suricata --list-runmodes
מצב ההפעלה המוגדר כברירת מחדל הוא Autofp מייצג "איזון עומס זרימה קבוע אוטומטי". במצב זה, מנות מכל זרם אחר מוקצות לשרשור זיהוי יחיד. הזרימות מוקצות לשרשורים עם המספר הנמוך ביותר של חבילות לא מעובדות.
עכשיו נוכל להמשיך ל הפעל את Suricata במצב pcap בשידור חי, באמצעות הפקודה הבאה:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal