Suricata 7.0 ಲ್ಯಾಂಡ್‌ಲಾಕ್ ಬೆಂಬಲ, ಸುಧಾರಣೆಗಳು ಮತ್ತು ಹೆಚ್ಚಿನವುಗಳೊಂದಿಗೆ ಆಗಮಿಸುತ್ತದೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

ಸುರಿಕಾಟಾ

ಸುರಿಕಾಟಾ ತೆರೆದ ಮೂಲ ಆಧಾರಿತ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆ ಮತ್ತು ಒಳನುಗ್ಗುವಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ ವ್ಯವಸ್ಥೆಯಾಗಿದೆ.

ಎರಡೂವರೆ ವರ್ಷಗಳ ಅಭಿವೃದ್ಧಿಯ ನಂತರ, ದಿ OISF ಬಿಡುಗಡೆಯನ್ನು ಅನಾವರಣಗೊಳಿಸಿತು ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಮತ್ತು ತಡೆಗಟ್ಟುವಿಕೆ ವ್ಯವಸ್ಥೆಯ ಹೊಸ ಆವೃತ್ತಿ, «ಮೀರ್ಕಟ್ 7.0″, ಇದು ವಿವಿಧ ರೀತಿಯ ದಟ್ಟಣೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಸುರಿಕಾಟಾ ಕಾನ್ಫಿಗರೇಶನ್‌ಗಳಲ್ಲಿ, ಸ್ನೋರ್ಟ್ ಪ್ರಾಜೆಕ್ಟ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಸಹಿ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಬಳಸಲು ಅನುಮತಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳು ಮತ್ತು ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳ ಪ್ರೊ ನಿಯಮಗಳು.

ಸುರಿಕಾಟಾ 7.0 ರ ಮುಖ್ಯ ಸುದ್ದಿ

ಪ್ರಸ್ತುತಪಡಿಸಲಾದ Suricata 7.0 ನ ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ, ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಬದಲಾವಣೆಗಳೆಂದರೆ ದಿ ಲ್ಯಾಂಡ್‌ಲಾಕ್ ಅಪ್ಲಿಕೇಶನ್ ಐಸೋಲೇಶನ್ ಮೆಕ್ಯಾನಿಸಂಗೆ ಬೆಂಬಲ, ಇದು ಸುರಕ್ಷಿತ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳನ್ನು ರಚಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಸಿಸ್ಟಮ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಕಾರ್ಯವಿಧಾನಗಳ ಮೇಲೆ ಹೆಚ್ಚುವರಿ ಲೇಯರ್ ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಪ್ರವೇಶವನ್ನು ನೀಡುವ ತರ್ಕವನ್ನು BPF ಪ್ರೋಗ್ರಾಂ ಬಳಸಿ ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ, ಆದರೆ seccomp-bpf ನಂತೆ, ಲ್ಯಾಂಡ್‌ಲಾಕ್ ಸಿಸ್ಟಮ್ ಕರೆಗಳು ಮತ್ತು ಅವುಗಳ ಆರ್ಗ್ಯುಮೆಂಟ್‌ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವುದಿಲ್ಲ, ಆದರೆ ಫೈಲ್ ಶ್ರೇಣಿಗಳಂತಹ ಕರ್ನಲ್ ಆಬ್ಜೆಕ್ಟ್‌ಗಳ ಬಳಕೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅನುಮತಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಹೊರಗಿನ ಫೈಲ್‌ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸು ಕೆಲಸದ ಡೈರೆಕ್ಟರಿ).

Suricata 7.0 ನಲ್ಲಿ ಎದ್ದು ಕಾಣುವ ಮತ್ತೊಂದು ಬದಲಾವಣೆಯೆಂದರೆ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಘಟಕಗಳನ್ನು ವೇಗಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ (IDS) AF_XDP ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸುವುದು, ಇದು ಕರ್ನಲ್ ನೆಟ್‌ವರ್ಕಿಂಗ್ ಸ್ಟಾಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮೂಲಕ ಬಳಕೆದಾರ-ಸ್ಪೇಸ್ ಡ್ರೈವರ್‌ಗೆ ಮರುನಿರ್ದೇಶಿಸುವ ಮೂಲಕ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು ಅನುಮತಿಸುತ್ತದೆ.

ಇದರ ಜೊತೆಗೆ, ಇದು ಕೂಡ ಹೈಲೈಟ್ ಆಗಿದೆ HTTP/2 ಪ್ರೋಟೋಕಾಲ್‌ಗೆ ಸ್ಥಿರ ಬೆಂಬಲವನ್ನು ಘೋಷಿಸಲಾಗಿದೆ, ಹಿಂದಿನಿಂದಲೂ, HTTP/2 ಗಾಗಿ ಘಟಕಗಳನ್ನು ಪ್ರಾಯೋಗಿಕವಾಗಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ. HTTP/2 ಗಾಗಿ, ಹೌದುಮತ್ತು ಡಿಫ್ಲೇಟ್ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಸಂಕೋಚನಕ್ಕೆ ಬೆಂಬಲವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ವಿನಂತಿಸಿದ ಬೈಟ್ ಶ್ರೇಣಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ವಿನಂತಿಗಳು (ಬೈಟ್-ಶ್ರೇಣಿ).

ಎಂಬುದನ್ನು ಸಹ ನಾವು ಕಾಣಬಹುದು "ಷರತ್ತುಬದ್ಧ" ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು PCAP ಅನ್ನು ಆಯ್ದವಾಗಿ ಲಾಗ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ "pcap-log" ವಿಭಾಗದಲ್ಲಿ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಎಲ್ಲಾ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು pcap ಫೈಲ್‌ನಲ್ಲಿ ದಾಖಲಿಸಲಾಗಿದೆ, "ಎಚ್ಚರಿಕೆಗಳ" ಮೌಲ್ಯವನ್ನು "ಷರತ್ತುಬದ್ಧ" ಆಯ್ಕೆಗೆ ಹೊಂದಿಸಿದರೆ, ಎಚ್ಚರಿಕೆಗಳನ್ನು ರಚಿಸಲಾದ ಥ್ರೆಡ್‌ಗಳನ್ನು ಮಾತ್ರ ಲಾಗ್ ತೋರಿಸುತ್ತದೆ. ಟ್ಯಾಗ್ ಮೌಲ್ಯದೊಂದಿಗೆ, ನಿರ್ದಿಷ್ಟ ಟ್ಯಾಗ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಮಾತ್ರ ನೋಂದಾಯಿಸಬಹುದು.

ಮತ್ತೊಂದೆಡೆ, ಇದನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ DPDK ಫ್ರೇಮ್‌ವರ್ಕ್‌ಗೆ ಬೆಂಬಲ (ಡೇಟಾ ಪ್ಲೇನ್ ಡೆವಲಪ್‌ಮೆಂಟ್ ಕಿಟ್) ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಘಟಕಗಳ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಸುಧಾರಿಸಲು (IDS) ಮತ್ತು ಒಳನುಗ್ಗುವಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ (IPS) ನೆಟ್‌ವರ್ಕ್ ಉಪಕರಣಗಳೊಂದಿಗೆ ನೇರವಾಗಿ ಕೆಲಸ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಕರ್ನಲ್ ನೆಟ್‌ವರ್ಕ್ ಸ್ಟಾಕ್ ಮೂಲಕ ಹೋಗದೆ ನೆಟ್‌ವರ್ಕ್ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಸಂಸ್ಕರಿಸುವ ಮೂಲಕ.

ಒಳನುಗ್ಗುವಿಕೆ ತಡೆಗಟ್ಟುವಿಕೆ ವ್ಯವಸ್ಥೆ (IPS) ಅನುಷ್ಠಾನದಲ್ಲಿ, ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ವಿನಾಯಿತಿಗಳೊಂದಿಗೆ ನಿಯಮಗಳು ಪ್ಯಾಕೆಟ್ ಡ್ರಾಪ್‌ಗಳನ್ನು (DROP ಕಾರ್ಯಾಚರಣೆ) ಬಳಸುತ್ತವೆ ಮತ್ತು ಈವೆಂಟ್‌ಗಳ JSON ಔಟ್‌ಪುಟ್ ಒದಗಿಸಲು JSON ಸ್ಕೀಮಾವನ್ನು ಬಳಸಿಕೊಂಡು EVE ಲಾಗಿಂಗ್ ಉಪವ್ಯವಸ್ಥೆಯನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ ಮತ್ತು ಮೌಲ್ಯೀಕರಿಸಲಾಗಿದೆ.

ಆಫ್ ಇತರ ಬದಲಾವಣೆಗಳು ಅದು ಈ ಹೊಸ ಆವೃತ್ತಿಯಿಂದ ಎದ್ದು ಕಾಣುತ್ತದೆ:

  • NETMAP 14 API ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • HTTP ಮತ್ತು HTTP2 ಪ್ರೋಟೋಕಾಲ್ ಹೆಡರ್ ತಪಾಸಣೆಗಾಗಿ ಹೊಸ ಕೀವರ್ಡ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ
  • ಕ್ಲೈಂಟ್ TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೋಂದಾವಣೆಯಲ್ಲಿ ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ಉಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ.
  • ಬಿಟ್ಟೊರೆಂಟ್ ಪ್ರೋಟೋಕಾಲ್‌ಗಾಗಿ ಪಾರ್ಸರ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • ಲಿಬ್ಸುರಿಕಾಟಾ ಲೈಬ್ರರಿಯ ಆರಂಭಿಕ ಅನುಷ್ಠಾನವನ್ನು ಇತರ ಉತ್ಪನ್ನಗಳಲ್ಲಿ ಸುರಿಕಾಟಾ ಕಾರ್ಯವನ್ನು ಬಳಸಲು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ.
  • VLAN ಲೇಯರ್ 3 ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • ಕಾರ್ಯನಿರ್ವಹಣೆ ಮತ್ತು ಮೆಮೊರಿ ಬಳಕೆ ಆಪ್ಟಿಮೈಸೇಶನ್‌ಗಳನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ
  • ಸಕ್ರಿಯ ಪ್ರಸರಣಗಳು ಮತ್ತು TCP ಪ್ಯಾಕೆಟ್‌ಗಳಿಗಾಗಿ ಕೌಂಟರ್‌ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.

ಅಂತಿಮವಾಗಿ ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಬಯಸಿದರೆ, ನೀವು ಹೋಗುವ ಮೂಲಕ ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್‌ಗೆ.

ಉಬುಂಟುನಲ್ಲಿ ಸುರಿಕಾಟಾವನ್ನು ಹೇಗೆ ಸ್ಥಾಪಿಸುವುದು?

ಈ ಉಪಯುಕ್ತತೆಯನ್ನು ಸ್ಥಾಪಿಸಲು, ನಮ್ಮ ಸಿಸ್ಟಮ್‌ಗೆ ಈ ಕೆಳಗಿನ ಭಂಡಾರವನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ನಾವು ಇದನ್ನು ಮಾಡಬಹುದು. ಇದನ್ನು ಮಾಡಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳನ್ನು ಟೈಪ್ ಮಾಡಿ:

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

ನೀವು ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ಇದನ್ನು ಪರಿಹರಿಸಲಾಗುತ್ತದೆ:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

ಅನುಸ್ಥಾಪನೆ ಮುಗಿದಿದೆ, ಯಾವುದೇ ಆಫ್‌ಲೋಡ್ ಫೀಚರ್ ಪ್ಯಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಸುರಿಕಾಟಾ ಕೇಳುತ್ತಿರುವ ಎನ್ಐಸಿಯಲ್ಲಿ.

ಅವರು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು eth0 ನೆಟ್‌ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ LRO / GRO ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು:

sudo ethtool -K eth0 gro off lro off

ಮೀರ್ಕಟ್ ಹಲವಾರು ಆಪರೇಟಿಂಗ್ ಮೋಡ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ನಾವು ಎಲ್ಲಾ ಮರಣದಂಡನೆ ವಿಧಾನಗಳ ಪಟ್ಟಿಯನ್ನು ನೋಡಬಹುದು:

sudo /usr/bin/suricata --list-runmodes

ಬಳಸಿದ ಡೀಫಾಲ್ಟ್ ರನ್ ಮೋಡ್ ಆಟೋಫ್ಪಿ ಎಂದರೆ "ಸ್ವಯಂಚಾಲಿತ ಸ್ಥಿರ ಹರಿವು ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸಿಂಗ್". ಈ ಮೋಡ್‌ನಲ್ಲಿ, ಪ್ರತಿಯೊಂದು ವಿಭಿನ್ನ ಸ್ಟ್ರೀಮ್‌ನ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಒಂದೇ ಪತ್ತೆ ಥ್ರೆಡ್‌ಗೆ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಸಂಸ್ಕರಿಸದ ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ಎಳೆಗಳಿಗೆ ಹರಿವುಗಳನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ.

ಈಗ ನಾವು ಮುಂದುವರಿಯಬಹುದು pcap ಲೈವ್ ಮೋಡ್‌ನಲ್ಲಿ ಸುರಿಕಾಟಾವನ್ನು ಪ್ರಾರಂಭಿಸಿ, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.