Објављена је нова верзија Сурицата 6.0

Након годину дана развоја, Опен Информатион Сецурити Фоундатион (ОИСФ) обзнањена кроз пост на блогу, лансирање нове верзије Сурицата 6.0, који је систем за откривање и превенцију упада у мрежу који обезбеђује средства за инспекцију различитих врста саобраћаја.

У овом новом издању Представљено је неколико веома занимљивих побољшања, као што је подршка за ХТТП/2, побољшања различитих протокола, побољшања перформанси, између осталих промена.

За оне који не знају за мееркат, требало би да знате да је овај софтвер иЗаснован је на скупу правила споља развијена за праћење мрежног саобраћаја и обезбедити упозорења администратору система када дође до сумњивих догађаја.

У Сурицата конфигурацијама, дозвољено је коришћење базе података потписа коју је развио пројекат Снорт, као и скупова правила Емергинг Тхреатс и Емергинг Тхреатс Про.

Изворни код пројекта се дистрибуира под ГПЛв2 лиценцом.

Главне нове карактеристике Сурицате 6.0

У овој новој верзији Сурицата 6.0 можемо пронаћи почетна подршка за ХТТП/2 са којим се уводе безбројна побољшања као што су употреба једне везе, компресија заглавља, између осталог.

поред тога Укључена је компатибилност са РФБ и МКТТ протоколима, укључујући дефиницију протокола и могућности евидентирања.

такође перформансе евидентирања су значајно побољшане преко ЕВЕ механизма, који обезбеђује ЈСОН излаз догађаја. Убрзање се постиже захваљујући коришћењу новог ЈСОН синк генератора, написаног на Руст језику.

Повећана скалабилност ЕВЕ система регистрације и имплементирао могућност одржавања хотелског дневника за сваки пренос.

Поред тога, Сурицата 6.0 уводи нови језик дефиниције правила који додаје подршку за параметар фром_енд у кључној речи бите_јумп и параметар битмаск у бите_тест. Поред тога, имплементирана је кључна реч пцрекформ како би се омогућило регуларним изразима (пцре) да ухвате подниз.

Могућност одраза МАЦ адреса у ЕВЕ запису и повећање детаљности ДНС записа.

Оф тхе друге промене које се истичу ове нове верзије:

  • Додата конверзија урлдекода. Додата кључна реч бите_матх.
  • Могућност евидентирања за ДЦЕРПЦ протокол Способност дефинисања услова за дамповање информација у дневник.
  • Побољшане перформансе мотора протока.
  • Подршка за идентификацију ССХ (ХАССХ) имплементација.
  • Имплементација тунелског декодера ГЕНЕВЕ.
  • Преписан Руст код за руковање АСН.1, ДЦЕРПЦ и ССХ. Руст такође подржава нове протоколе.
  • Обезбедите могућност коришћења цбиндген-а за генерисање веза у Руст и Ц.
  • Додата подршка за почетне додатке.

Коначно ако желите да сазнате више о томе, Детаље можете проверити контактирањем на следећи линк.

Како инсталирати Сурицата на Убунту?

Да бисмо инсталирали овај услужни програм, можемо то учинити додавањем следећег спремишта у наш систем. Да бисте то урадили, једноставно унесите следеће команде:

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

Ако имате Убунту 16.04 или имате проблема са зависностима, са следећом командом се решава:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Инсталација завршена, Препоручује се да онемогућите све офффлоеад пакете функција на НИЦ-у који Мееркат слуша.

Можете да онемогућите ЛРО/ГРО на етх0 мрежном интерфејсу користећи следећу команду:

sudo ethtool -K eth0 gro off lro off

Сурицата подржава бројне режиме рада. Можемо видети листу свих режима извршавања са следећом командом:

sudo /usr/bin/suricata --list-runmodes

Подразумевани режим рада који се користи је аутофп што значи „аутоматско уравнотежење оптерећења фиксног протока“. У овом режиму, пакети из сваког различитог тока се додељују једној нити детекције. Токови се додељују нитима са најмањим бројем необрађених пакета.

Сада можемо да наставимо покрените Сурицату у пцап режиму уживо, користећи следећу команду:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal

Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.