मीरकत-चालू
La ओपन इन्फर्मेशन सिक्युरिटी फाउंडेशनने सूरिकाटा 5.0 चे प्रकाशन प्रकाशित केले आहे. जे आहे एक नेटवर्क घुसखोरी ओळख आणि प्रतिबंध प्रणाली जे विविध प्रकारच्या रहदारीसाठी तपासणीची साधने प्रदान करते.
हे नियमांच्या संचावर आधारित आहे बाह्यरित्या विकसित नेटवर्क रहदारी देखरेख ठेवण्यासाठी आणि संशयास्पद घटना उद्भवल्यास सिस्टीम प्रशासकास सतर्कता प्रदान करते. सुरिकाटा कॉन्फिगरेशनमध्ये, स्नॉर्ट प्रोजेक्टद्वारे विकसित स्वाक्षरी डेटाबेस तसेच इमर्जिंग थ्रेट्स आणि इमर्जिंग थ्रीट्स प्रो नियम संचाचा वापर करण्याची परवानगी आहे. प्रकल्पाचा स्त्रोत कोड जीपीएलव्ही 2 परवान्याअंतर्गत वितरीत केला आहे.
सुरिकाटा 5.0 ची मुख्य बातमी
या नवीन आवृत्तीत नवीन विश्लेषण आणि नोंदणी मॉड्यूल सादर केले आहेत प्रोटोकॉल साठी आरडीपी, एसएनएमपी आणि एसआयपी गंज मध्ये लिहिलेले. एफटीपी विश्लेषणाच्या मॉड्यूलमध्ये ईव्हीई उपप्रणालीद्वारे लॉग इन करण्याची क्षमता आहे, जे जेएसओएन स्वरूपनात इव्हेंट आउटपुट प्रदान करते.
TLS JA3 क्लायंट प्रमाणीकरण पद्धतीसाठी समर्थन व्यतिरिक्त मागील आवृत्तीत दिसू लागले, जेए 3 एस पध्दतीसाठी समर्थन जोडले गेले आहे, जे स्थापित केलेल्या वैशिष्ट्ये आणि कनेक्शन वाटाघाटी पॅरामीटर्सच्या आधारे कनेक्शन स्थापित करण्यासाठी कोणते सॉफ्टवेअर वापरले जाते ते निर्धारित करण्यास अनुमती देते (उदाहरणार्थ, ते आपल्याला वापर निर्धारित करण्यास अनुमती देते टोर आणि इतर वैशिष्ट्यपूर्ण अनुप्रयोगांचे).
जेए 3 क्लायंट आणि जेए 3 एस - सर्व्हर परिभाषित करण्याची क्षमता प्रदान करते. व्याख्या परिणाम नियम भाषेमध्ये आणि नोंदींमध्ये वापरल्या जाऊ शकतात.
जोडले एक मोठ्या डेटा सेटच्या निवडीसह तुलना करण्याची प्रायोगिक क्षमताs, नवीन डेटासेट आणि डेटारेप ऑपरेशन्स वापरुन अंमलात आणले. उदाहरणार्थ, लाखो प्रविष्ट्यांसह मोठ्या ब्लॅकलिस्टवर मास्क शोधण्यासाठी हे फंक्शन लागू आहे.
एचटीटीपी तपासणी मोडमध्ये, एचटीटीपी इव्हॅडर चाचणी संचात वर्णन केलेल्या सर्व घटना पूर्णपणे संरक्षित आहेत (उदाहरणार्थ, त्यात रहदारीत दुर्भावनायुक्त क्रिया लपविण्यासाठी वापरल्या जाणार्या पद्धती समाविष्ट आहेत).
गंज भाषेतील मॉड्यूलच्या विकासाची साधने पर्यायांपासून अनिवार्य व्यक्तींच्या कौशल्याच्या श्रेणीपर्यंत नेली जातात. भविष्यात प्रोजेक्ट कोड बेसमध्ये रस्टचा वापर वाढविण्याची आणि हळूहळू रस्टमध्ये डेव्हलप केलेल्या अॅनालॉग्सची मोड्यूल्स बदलण्याची योजना आहे.
एसिन्क्रॉनोस ट्रॅफिक प्रवाहाची परिशुद्धता आणि प्रक्रिया वाढविण्याच्या क्षेत्रात प्रोटोकॉल डेफिनेशन इंजिन सुधारित केले आहे.
नवीन प्रकारच्या 'विसंगती' लॉगसाठी समर्थन जोडला ईव्हीई रजिस्टरमध्ये, ज्यात पॅकेट डिकोडिंग दरम्यान आढळलेले आउटलेटर्स संग्रहित केले जातात. ईव्हीई देखील व्हीएलएएन आणि रहदारी कॅप्चर इंटरफेसवर विस्तारित करते. सर्व एचटीटीपी शीर्षलेखांना पोस्ट इव्हीई लॉग नोंदींमध्ये जतन करण्यासाठी पर्याय जोडला गेला;
नेटमॅप फ्रेमवर्कचा वापर करून रहदारी मिळविण्यासाठी कोड पुन्हा लिहिला गेला आहे. VALE आभासी स्विच सारखी प्रगत नेटमॅप वैशिष्ट्ये वापरण्याची क्षमता जोडली.
वापरलेल्या सर्व पायथन कोडची पायथन 3 सहत्वतासाठी चाचणी केली जाते.
उबंटू वर सूरीकाटा कसे स्थापित करावे?
ही युटिलिटी स्थापित करण्यासाठी आम्ही आमच्या सिस्टममध्ये खालील रेपॉजिटरी जोडून हे करू शकतो. हे करण्यासाठी, फक्त खालील आदेश टाइप करा:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
उबंटू 16.04 असल्यास किंवा अवलंबित्वात समस्या असल्यास, खालील कमांडद्वारे त्याचे निराकरण केले आहे:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
स्थापना पूर्ण झाली, कोणतीही ऑफलॉइड फीचर पॅक अक्षम करण्याची शिफारस केली जाते सुरिकाटा ऐकत असलेल्या एनआयसीवर.
ते खालील आदेशाद्वारे एथ 0 नेटवर्क इंटरफेसवर एलआरओ / जीआरओ अक्षम करू शकतात:
sudo ethtool -K eth0 gro off lro off
मीर्कॅट बर्याच ऑपरेटिंग मोडचे समर्थन करते. आम्ही खालील आदेशासह सर्व एक्जिक्युशन मोडची सूची पाहू शकतो.
sudo /usr/bin/suricata --list-runmodes
वापरलेला डीफॉल्ट रन मोड म्हणजे ऑटोफॅप म्हणजे "स्वयंचलित निश्चित प्रवाह भार संतुलन". या मोडमध्ये, प्रत्येक भिन्न प्रवाहामधील पॅकेट्स एका शोध धागावर नियुक्त केली जातात. अनप्रोसेस्ड पॅकेटच्या सर्वात कमी संख्येसह प्रवाह थ्रेडला दिले गेले आहेत.
आता आपण पुढे जाऊ शकतो पीसीएप लाइव्ह मोडमध्ये सूरीकाटा प्रारंभ करा खालील कमांड वापरुन
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal