Po metų plėtros Atviras informacijos saugumo fondas (OISF) paskelbta per tinklaraščio įrašas, išleidus naują „Suricata 6.0“ versiją, kuri yra tinklo įsibrovimo aptikimo ir prevencijos sistema, suteikianti galimybę tikrinti įvairius srautus.
Šiame naujame leidime pateikiami keli labai įdomūs patobulinimai, pavyzdžiui, HTTP / 2 palaikymas, įvairių protokolų patobulinimai, našumo patobulinimai, be kitų pakeitimų.
Tiems, kurie nežino apie surikatą, turėtumėte žinoti, kad ši programinė įranga irJis pagrįstas taisyklių rinkiniu išoriškai išvystyta stebėti tinklo srautą ir pateikti įspėjimus sistemos administratoriui, kai įvyksta įtartinų įvykių.
„Suricata“ konfigūracijose leidžiama naudoti „Snort“ projekto sukurtą parašų duomenų bazę, taip pat „Emerging Threats“ ir „Emerging Threats Pro“ taisyklių rinkinius.
Projekto šaltinio kodas platinamas pagal GPLv2 licenciją.
Pagrindinės „Suricata 6.0“ naujienos
Šioje naujoje „Suricata 6.0“ versijoje galime rasti pradinis HTTP / 2 palaikymas su kuriais pateikiami nesuskaičiuojami patobulinimai, pavyzdžiui, vieno ryšio naudojimas, antraštių glaudinimas, be kita ko.
neskaitant to buvo įtraukta parama RFB ir MQTT protokolams, įskaitant protokolo apibrėžimą ir registravimo galimybes.
taip pat žymiai pagerėjo registracijos rezultatai per EVE variklį, kuris teikia JSON įvykių išvestį. Pagreitis pasiekiamas naudojant naują „JSON“ kriauklės generatorių, parašytą „Rust“ kalba.
EVE registracijos sistemos mastelis padidėjo ir įdiegė galimybę išlaikyti viešbučio žurnalo failą kiekvienai transliacijai.
Be to, „Suricata 6.0“ pristato naują taisyklių apibrėžimo kalbą kuris prideda paramą „from_end“ parametre „byte_jump“ raktiniame žodyje ir „bitmask“ parametrą - „byte_test“. Be to, „pcrexform“ raktinis žodis buvo įdiegtas, kad reguliarios išraiškos („pcre“) galėtų užfiksuoti poskyrį.
Galimybė atspindėti MAC adresus EVE įraše ir padidinti DNS įrašo detales.
iš kiti išsiskiriantys pokyčiai šios naujos versijos:
- Pridėta urldekodo konversija. Pridėtas raktas byte_math.
- DCERPC protokolo registravimo galimybė. Gebėjimas apibrėžti sąlygas, kad informacija būtų įtraukta į žurnalą.
- Pagerintas srauto variklio veikimas.
- Parama nustatyti SSH diegimus (HASSH).
- GENEVE tunelio dekoderio įdiegimas.
- Rūdžių kodas perrašytas tvarkyti ASN.1, DCERPC ir SSH. Rust taip pat palaiko naujus protokolus.
- Suteikite galimybę naudoti „cbindgen“, kad būtų sukurtos nuorodos „Rust“ ir „C“.
- Pridėta pradinė įskiepių parama.
Pagaliau jei norite apie tai daugiau sužinoti, galite patikrinti išsamią informaciją eidami į šią nuorodą.
Kaip įdiegti „Suricata“ į „Ubuntu“?
Norėdami įdiegti šį įrankį, mes galime tai padaryti pridėdami šią saugyklą prie savo sistemos. Norėdami tai padaryti, tiesiog įveskite šias komandas:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Jei turite „Ubuntu 16.04“ arba kyla problemų dėl priklausomybių, išsprendus šią komandą:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Diegimas atliktas, rekomenduojama išjungti bet kokį „offloead“ funkcijų paketą NIC, kurio klausosi Suricata.
Jie gali išjungti LRO / GRO „eth0“ tinklo sąsajoje naudodami šią komandą:
sudo ethtool -K eth0 gro off lro off
Meerkat palaiko daugybę darbo režimų. Mes galime pamatyti visų vykdymo režimų sąrašą naudodami šią komandą:
sudo /usr/bin/suricata --list-runmodes
Numatytasis veikimo režimas yra autofp reiškia „automatinis fiksuoto srauto apkrovos balansavimas“. Šiuo režimu kiekvienos skirtingų srautų paketai priskiriami vienai aptikimo gijai. Srautai priskiriami temoms, kuriose yra mažiausias neperdirbtų paketų skaičius.
Dabar galime tęsti paleiskite „Suricata“ tiesioginiame „Pcap“ režime, naudodami šią komandą:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal