Pēc gada attīstības Atklātais informācijas drošības fonds (OISF) darīts zināms caur emuāra ziņojums, jaunās Suricata 6.0 versijas izlaišana, kas ir tīkla ielaušanās atklāšanas un novēršanas sistēma, kas nodrošina līdzekļus dažāda veida trafika pārbaudei.
Šajā jaunajā izdevumā tiek piedāvāti vairāki ļoti interesanti uzlabojumi, piemēram, HTTP / 2 atbalsts, dažādu protokolu uzlabojumi, veiktspējas uzlabojumi, cita starpā.
Tiem, kas nezina par surikatu, jums jāzina, ka šī programmatūra eTas ir balstīts uz noteikumu kopumu ārēji attīstīta lai uzraudzītu tīkla trafiku un sniegt brīdinājumus sistēmas administratoram, kad rodas aizdomīgi notikumi.
Suricata konfigurācijās ir atļauts izmantot Snort projekta izstrādāto parakstu datu bāzi, kā arī noteikumu kopas Emerging Threat and Emerging Threats Pro.
Projekta pirmkods tiek izplatīts ar GPLv2 licenci.
Galvenie Suricata 6.0 jaunumi
Šajā jaunajā Suricata 6.0 versijā mēs varam atrast sākotnējais HTTP / 2 atbalsts ar kuru tiek ieviesti neskaitāmi uzlabojumi, piemēram, viena savienojuma izmantošana, galvenes saspiešana, cita starpā.
Bez tam tika iekļauts atbalsts RFB un MQTT protokoliem, ieskaitot protokola definēšanu un reģistrēšanas iespējas.
arī ievērojami uzlabojās reģistrācijas veiktspēja izmantojot EVE dzinēju, kas nodrošina JSON izvadi no notikumiem. Paātrinājums tiek sasniegts, izmantojot jauno JSON izlietnes ģeneratoru, kas rakstīts Rust valodā.
EVE reģistrācijas sistēmas mērogojamība palielinājās un ieviesa iespēju uzturēt viesnīcas žurnāla failu katrai apraidei.
Turklāt, Suricata 6.0 ievieš jaunu noteikumu definēšanas valodu kas pievieno atbalstu parametram from_end atslēgvārdā byte_jump un parametram bitmask byte_test. Turklāt ir ieviests atslēgvārds pcrexform, kas ļauj regulārām izteiksmēm (pcre) notvert apakšvirkni.
Spēja atspoguļot MAC adreses EVE ierakstā un palielināt DNS ieraksta detaļas.
Gada citas izmaiņas, kas izceļas šīs jaunās versijas:
- Pievienots urldecode reklāmguvums. Pievienots atslēgvārds byte_math.
- DCERPC protokola reģistrēšanas iespējas. Spēja definēt nosacījumus, lai informāciju ievietotu žurnālā.
- Uzlabota plūsmas motora darbība.
- Atbalsts SSH ieviešanas (HASSH) identificēšanai.
- GENEVE tuneļa dekodera ieviešana.
- Rūsas kods ir pārrakstīts, lai apstrādātu ASN.1, DCERPC un SSH. Rūss atbalsta arī jaunus protokolus.
- Nodrošiniet iespēju izmantot cbindgen, lai ģenerētu saites Rust un C.
- Pievienots sākotnējais spraudņa atbalsts.
Beidzot ja vēlaties uzzināt vairāk par to, jūs varat pārbaudīt informāciju, dodoties uz šo saiti.
Kā instalēt Suricata Ubuntu?
Lai instalētu šo utilītu, mēs varam to izdarīt, mūsu sistēmai pievienojot šādu krātuvi. Lai to izdarītu, vienkārši ierakstiet šādas komandas:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Gadījumā, ja jums ir Ubuntu 16.04 vai ir problēmas ar atkarībām, ar šādu komandu tas tiek atrisināts:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Instalācija pabeigta, ieteicams atspējot jebkuru offloead funkciju pakotni TIC, kuru klausās Suricata.
Viņi var atspējot LRO / GRO eth0 tīkla saskarnē, izmantojot šādu komandu:
sudo ethtool -K eth0 gro off lro off
Meerkat atbalsta vairākus darbības režīmus. Mēs varam redzēt visu izpildes režīmu sarakstu ar šādu komandu:
sudo /usr/bin/suricata --list-runmodes
Izmantotais noklusējuma darbības režīms ir autofp nozīmē "automātiska fiksēta plūsmas slodzes līdzsvarošana". Šajā režīmā paketes no katras dažādas straumes tiek piešķirtas vienam noteikšanas pavedienam. Plūsmas tiek piešķirtas pavedieniem ar vismazāko neapstrādāto pakešu skaitu.
Tagad mēs varam turpināt sāciet Suricata pcap tiešajā režīmā, izmantojot šādu komandu:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal