Suricata — это система обнаружения и предотвращения вторжений с открытым исходным кодом.
После двух с половиной лет разработки OISF объявила о запуске новая версия системы обнаружения и предотвращения вторжений, «Сурикат 7.0″, который предоставляет инструменты для проверки различных типов трафика.
В конфигурациях Suricata разрешено использовать базу данных сигнатур, разработанную проектом Snort, а также наборы правил Emerging Threats и Emerging Threats Pro.
Основные новости Suricata 7.0
В представленной новой версии Suricata 7.0 одним из наиболее заметных изменений является то, что поддержка механизма изоляции приложений Landlock, который позволяет создавать безопасные песочницы, реализованные как дополнительный уровень поверх существующих механизмов управления доступом к системе. Логика предоставления доступа определяется с помощью программы BPF, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как файловые иерархии (например, запретить доступ к файлам за пределами рабочий каталог).
Еще одно заметное изменение в Suricata 7.0 заключается в том, что возможность ускорить компоненты обнаружения вторжений (ИДС) используя механизм AF_XDP, который позволяет перехватывать пакеты, перенаправляя их драйверу пользовательского пространства в обход сетевого стека ядра.
В дополнение к этому также подчеркивается, что заявлена стабильная поддержка протокола HTTP/2, так как ранее компоненты для HTTP/2 были представлены как экспериментальные. Для HTTP/2 даи реализована поддержка сжатия с использованием метода deflate и запросы, указывающие запрошенный диапазон байтов (byte-range).
Мы также можем обнаружить, что возможность выборочного ведения журнала PCAP с использованием «условной» опции в разделе "pcap-log". По умолчанию, все пакеты записываются в файл pcap, если значение «оповещения» установлено на «условный» вариант, журнал покажет только те потоки, для которых были сгенерированы предупреждения. При значении тега могут быть зарегистрированы только пакеты с определенными тегами.
С другой стороны, упоминается, что поддержка фреймворка DPDK (Комплект разработки плоскости данных) для повышения производительности компонентов обнаружения вторжений (IDS) и предотвращение вторжений (IPS), работая напрямую с сетевым оборудованием и обрабатывая сетевые пакеты, минуя сетевой стек ядра.
В реализации системы предотвращения вторжений (IPS) правила с исключениями по умолчанию используют отбрасывание пакетов (операция DROP), а подсистема ведения журналов EVE была задокументирована и проверена с использованием схемы JSON для обеспечения вывода событий в формате JSON.
Из другие изменения которые выделяются из этой новой версии:
- Добавлена поддержка API NETMAP 14.
- Добавлены новые ключевые слова для проверки заголовков протоколов HTTP и HTTP2.
- Реализована возможность обнаружения и сохранения клиентских TLS-сертификатов в реестре.
- Добавлен парсер для протокола Bittorrent.
- Предлагается начальная реализация библиотеки libsuricata для использования функциональных возможностей Suricata в других продуктах.
- Добавлена поддержка VLAN уровня 3.
- Реализована оптимизация производительности и потребления памяти.
- Добавлены счетчики активных передач и пакетов TCP.
В конце концов если вы хотите узнать об этом больше, вы можете проверить детали, перейдя по следующей ссылке.
Как установить Suricata на Ubuntu?
Чтобы установить эту утилиту, мы можем сделать это, добавив в нашу систему следующий репозиторий. Для этого просто введите следующие команды:
sudo apt-get install software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Если у вас есть проблемы с зависимостями, с помощью следующей команды это решается:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Установка завершена, рекомендуется отключить любой пакет функций offloead на сетевом адаптере, который слушает Суриката.
Они могут отключить LRO / GRO на сетевом интерфейсе eth0 с помощью следующей команды:
sudo ethtool -K eth0 gro off lro off
Meerkat поддерживает несколько режимов работы. Мы можем увидеть список всех режимов выполнения с помощью следующей команды:
sudo /usr/bin/suricata --list-runmodes
По умолчанию используется режим работы autofp, что означает «автоматическая балансировка нагрузки с фиксированным потоком». В этом режиме пакеты из каждого отдельного потока назначаются одному потоку обнаружения. Потоки назначаются потокам с наименьшим количеством необработанных пакетов.
Теперь мы можем перейти к запустить Suricata в режиме реального времени pcap, используя следующую команду:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal