Po letu razvoja je Fundacija za odprto informacijsko varnost (OISF) sporočil objava v spletnem dnevniku, izdaja nove različice Suricata 6.0, ki je sistem za odkrivanje in preprečevanje vdorov v omrežje, ki omogoča nadzor nad različnimi vrstami prometa.
V tej novi izdaji predstavljenih je nekaj zelo zanimivih izboljšav, kot so podpora za HTTP / 2, izboljšave različnih protokolov, izboljšave zmogljivosti in druge spremembe.
Za tiste, ki ne poznajo meerkat-a, morate vedeti, da ta programska oprema inTemelji na nizu pravil zunanje razvit za spremljanje omrežnega prometa in sistemskim skrbnikom zagotavlja opozorila, ko se pojavijo sumljivi dogodki.
V konfiguracijah Suricata je dovoljeno uporabljati bazo podatkov s podpisi, ki jo je razvil projekt Snort, pa tudi nabore pravil Emerging Threats in Emerging Threats Pro.
Izvorna koda projekta se distribuira pod licenco GPLv2.
Glavne novice Suricata 6.0
V tej novi različici Suricata 6.0 lahko najdemo začetna podpora za HTTP / 2 s katerimi se uvaja nešteto izboljšav, kot so uporaba ene same povezave, stiskanje glav med drugim.
Poleg tega vključena je bila podpora za protokole RFB in MQTT, vključno z definicijo protokola in zmogljivostmi beleženja.
prav tako uspešnost registracije se je znatno izboljšala prek mehanizma EVE, ki zagotavlja izhod JSON iz dogodkov. Pospešek je dosežen z uporabo novega generatorja pomivalnega korita JSON, napisanega v jeziku Rust.
Povečala se je razširljivost sistema registracije EVE in implementirali sposobnost vzdrževanja hotelske dnevniške datoteke za vsako oddajo.
Poleg tega, Suricata 6.0 uvaja nov jezik za določanje pravil ki doda podporo za parameter from_end v ključni besedi byte_jump in parameter bitne maske v byte_test. Poleg tega je bila ključna beseda pcrexform implementirana, da omogoča regularnim izrazom (pcre), da zajamejo podniz.
Sposobnost odsevanja naslovov MAC v zapisu EVE in povečanje podrobnosti zapisa DNS.
Od druge spremembe, ki izstopajo te nove različice:
- Dodano pretvorbo urldecode. Dodana ključna beseda byte_math.
- Sposobnost beleženja protokola DCERPC. Sposobnost definiranja pogojev za izpis informacij v dnevnik.
- Izboljšane zmogljivosti pretočnega motorja.
- Podpora za identifikacijo izvedb SSH (HASSH).
- Izvajanje dekoderja tunela GENEVE.
- Koda rje je prepisana za obdelavo ASN.1, DCERPC in SSH. Rust podpira tudi nove protokole.
- Zagotovite možnost uporabe cbindgena za ustvarjanje povezav v Rustu in C.
- Dodana začetna podpora vtičniku.
Končno če želite vedeti več o tem, podrobnosti lahko preverite tako, da greste na naslednjo povezavo.
Kako namestiti Suricata na Ubuntu?
Če želite namestiti to orodje, lahko to storimo tako, da v naš sistem dodamo naslednje skladišče. Če želite to narediti, preprosto vnesite naslednje ukaze:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
V primeru, da imate Ubuntu 16.04 ali imate težave z odvisnostmi, z naslednjim ukazom je rešen:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Namestitev končana, Priporočljivo je, da onemogočite kateri koli paket funkcij, ki niso namenjeni za uporabo na NIC, ki ga posluša Suricata.
Z naslednjim ukazom lahko onemogočijo LRO / GRO v omrežnem vmesniku eth0:
sudo ethtool -K eth0 gro off lro off
Meerkat podpira številne načine delovanja. Seznam vseh načinov izvajanja si lahko ogledamo z naslednjim ukazom:
sudo /usr/bin/suricata --list-runmodes
Privzeti uporabljeni način delovanja je autofp pomeni "samodejno uravnoteženje obremenitve s fiksnim tokom". V tem načinu so paketi iz vsakega različnega toka dodeljeni eni niti zaznavanja. Tokovi so dodeljeni niti z najmanjšim številom nepredelanih paketov.
Zdaj lahko nadaljujemo zaženite Suricata v načinu pcap v živo, z naslednjim ukazom:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal