Прибыла новая версия Suricata 5.0, система обнаружения сетевых вторжений.

Сурикат работает

Сурикат-Бег

La Фонд открытой информационной безопасности опубликовал выпуск Suricata 5.0, который система обнаружения и предотвращения сетевых вторжений который предоставляет инструменты проверки для различных типов трафика.

Он основан на наборе правил внешне развитый для мониторинга сетевого трафика и оповещать системного администратора о подозрительных событиях. В конфигурациях Suricata разрешено использовать базу данных сигнатур, разработанную проектом Snort, а также наборы правил Emerging Threats и Emerging Threats Pro. Исходный код проекта распространяется по лицензии GPLv2.

Основные новости Suricata 5.0

В этой новой версии представлены новые модули анализа и регистрации для протоколов RDP, SNMP и SIP написано на Rust. Модуль для анализа FTP имеет возможность авторизации через подсистему EVE, которая обеспечивает вывод событий в формате JSON.

В дополнение к поддержке метода аутентификации клиента TLS JA3 появившейся в предыдущей версии, добавлена ​​поддержка метода JA3S, который позволяет определять, какое программное обеспечение используется для установления соединения на основе установленных характеристик и параметров согласования соединения (например, позволяет определять использование Tor и других типичных приложений).

JA3 предоставляет возможность определять клиентов и JA3S-серверы. Результаты определения могут использоваться на языке правил и в регистрах.

Добавлен экспериментальная возможность сравнения с набором больших наборов данныхs, реализованный с использованием нового набора данных и операций с данными. Например, функция применима для поиска масок в больших черных списках с миллионами записей.

В режиме проверки HTTP полностью покрываются все ситуации, описанные в тестовом наборе HTTP Evader (например, рассматриваются методы, используемые для сокрытия вредоносной активности в трафике).

Средства разработки модулей на языке Rust перенесены из опций в категорию обязательных кадровых навыков. В будущем планируется расширить использование Rust в кодовой базе проекта и постепенно заменить модули аналогами, разработанными на Rust.

Механизм определения протокола был улучшен в области повышения точности и обработки асинхронных потоков трафика.

Добавлена ​​поддержка нового типа журналов аномалий. в регистре EVE, в котором хранятся выбросы, обнаруженные во время декодирования пакетов. EVE также расширяет VLAN и интерфейсы захвата трафика. Добавлена ​​возможность сохранять все заголовки HTTP в записях журнала http EVE;

Код был переписан для захвата трафика с использованием инфраструктуры Netmap. Добавлена ​​возможность использовать расширенные функции Netmap, такие как виртуальный коммутатор VALE.

Весь используемый код Python протестирован на совместимость с Python 3.

Как установить Suricata на Ubuntu?

Чтобы установить эту утилиту, мы можем сделать это, добавив в нашу систему следующий репозиторий. Для этого просто введите следующие команды:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

В случае наличия Ubuntu 16.04 или проблем с зависимостями, с помощью следующей команды это решается:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Установка завершена, рекомендуется отключить любой пакет функций offloead на сетевом адаптере, который слушает Суриката.

Они могут отключить LRO / GRO на сетевом интерфейсе eth0 с помощью следующей команды:

sudo ethtool -K eth0 gro off lro off

Meerkat поддерживает несколько режимов работы. Мы можем увидеть список всех режимов выполнения с помощью следующей команды:

sudo /usr/bin/suricata --list-runmodes

По умолчанию используется режим работы autofp, что означает «автоматическая балансировка нагрузки с фиксированным потоком». В этом режиме пакеты из каждого отдельного потока назначаются одному потоку обнаружения. Потоки назначаются потокам с наименьшим количеством необработанных пакетов.

Теперь мы можем перейти к запустить Suricata в режиме реального времени pcap , используя следующую команду:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.