Sau một năm phát triển, Quỹ bảo mật thông tin mở (OISF) được biết đến qua một bài đăng trên blog, việc phát hành phiên bản mới của Suricata 6.0, là một hệ thống phát hiện và ngăn chặn xâm nhập mạng cung cấp một phương tiện để kiểm tra các loại lưu lượng khác nhau.
Trong ấn bản mới này một số cải tiến rất thú vị được trình bày, chẳng hạn như hỗ trợ cho HTTP / 2, cải tiến các giao thức khác nhau, cải tiến hiệu suất, trong số các thay đổi khác.
Đối với những người không biết về meerkat, bạn nên biết rằng phần mềm này vàNó dựa trên một bộ quy tắc phát triển bên ngoài để giám sát lưu lượng mạng và cung cấp cảnh báo cho người quản trị hệ thống khi xảy ra các sự kiện đáng ngờ.
Trong cấu hình Suricata, nó được phép sử dụng cơ sở dữ liệu chữ ký được phát triển bởi dự án Snort, cũng như bộ quy tắc Các mối đe dọa mới nổi và Các mối đe dọa mới nổi.
Mã nguồn của dự án được phân phối theo giấy phép GPLv2.
Tin tức chính về Suricata 6.0
Trong phiên bản Suricata 6.0 mới này, chúng ta có thể tìm thấy hỗ trợ ban đầu cho HTTP / 2 với vô số cải tiến được giới thiệu như sử dụng một kết nối duy nhất, nén tiêu đề, trong số những thứ khác.
bên cạnh đó hỗ trợ cho các giao thức RFB và MQTT đã được bao gồm, bao gồm định nghĩa giao thức và khả năng ghi nhật ký.
cũng hiệu suất đăng ký đã được cải thiện đáng kể thông qua công cụ EVE, cung cấp đầu ra JSON từ các sự kiện. Việc tăng tốc đạt được nhờ vào việc sử dụng trình tạo chìm JSON mới, được viết bằng ngôn ngữ Rust.
Khả năng mở rộng hệ thống đăng ký EVE tăng lên và triển khai khả năng duy trì tệp nhật ký khách sạn cho mỗi lần phát sóng.
Bên cạnh đó, Suricata 6.0 giới thiệu ngôn ngữ định nghĩa quy tắc mới bổ sung hỗ trợ cho tham số from_end trong từ khóa byte_jump và tham số bitmask trong byte_test. Ngoài ra, từ khóa pcrexform đã được triển khai để cho phép các biểu thức chính quy (pcre) nắm bắt một chuỗi con.
Khả năng phản ánh địa chỉ MAC trong bản ghi EVE và tăng độ chi tiết của bản ghi DNS.
Của những thay đổi khác nổi bật của phiên bản mới này:
- Đã thêm chuyển đổi mã urldecode. Đã thêm từ khóa byte_math.
- Khả năng ghi nhật ký cho giao thức DCERPC. Khả năng xác định các điều kiện để kết xuất thông tin vào nhật ký.
- Cải thiện hiệu suất động cơ dòng chảy.
- Hỗ trợ xác định các triển khai SSH (HASSH).
- Thực hiện bộ giải mã đường hầm GENEVE.
- Mã rỉ được viết lại để xử lý ASN.1, DCERPC và SSH. Rust cũng hỗ trợ các giao thức mới.
- Cung cấp khả năng sử dụng cbindgen để tạo liên kết trong Rust và C.
- Đã thêm hỗ trợ plugin ban đầu.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra chi tiết bằng cách đi đến liên kết sau.
Làm thế nào để cài đặt Suricata trên Ubuntu?
Để cài đặt tiện ích này, chúng ta có thể thực hiện bằng cách thêm kho lưu trữ sau vào hệ thống của mình. Để thực hiện việc này, chỉ cần nhập các lệnh sau:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Trong trường hợp có Ubuntu 16.04 hoặc gặp sự cố với các phần phụ thuộc, với lệnh sau, nó đã được giải quyết:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Cài đặt xong, bạn nên tắt bất kỳ gói tính năng offloead nào trên NIC mà Suricata đang nghe.
Họ có thể tắt LRO / GRO trên giao diện mạng eth0 bằng lệnh sau:
sudo ethtool -K eth0 gro off lro off
Meerkat hỗ trợ một số chế độ hoạt động. Chúng ta có thể xem danh sách tất cả các chế độ thực thi bằng lệnh sau:
sudo /usr/bin/suricata --list-runmodes
Chế độ chạy mặc định được sử dụng là autofp là viết tắt của "tự động cân bằng tải lưu lượng cố định". Trong chế độ này, các gói từ mỗi luồng khác nhau được gán cho một luồng phát hiện duy nhất. Các luồng được gán cho các luồng có số gói chưa xử lý thấp nhất.
Bây giờ chúng ta có thể tiến hành khởi động Suricata ở chế độ trực tiếp pcap, sử dụng lệnh sau:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal