Suricata — це система виявлення та запобігання вторгненням із відкритим кодом.
Після двох з половиною років розробки, the OISF оприлюднив запуск нова версія системи виявлення та запобігання вторгненням, «Сурикат 7.0″, який надає інструменти для перевірки різних видів транспорту.
У конфігураціях Suricata дозволено використовувати базу даних сигнатур, розроблену проектом Snort, а також набори правил Emerging Threats і Emerging Threats Pro.
Основні новини Suricata 7.0
У представленій новій версії Suricata 7.0 однією з найпомітніших змін є те, що підтримка механізму ізоляції додатків Landlock, який дає змогу створювати безпечні пісочниці, реалізовані як додатковий рівень поверх існуючих системних механізмів контролю доступу. Логіка для надання доступу визначається за допомогою програми BPF, але на відміну від seccomp-bpf, Landlock не фільтрує системні виклики та їхні аргументи, але дозволяє обмежити використання об’єктів ядра, таких як ієрархії файлів (наприклад, заборонити доступ до файлів за межами робочого каталогу).
Ще одна зміна, яка виділяється в Suricata 7.0, полягає в тому, що здатність прискорювати компоненти виявлення вторгнень (IDS) за допомогою механізму AF_XDP, що дозволяє перехоплювати пакети, перенаправляючи їх до драйвера простору користувача, минаючи мережевий стек ядра.
Крім цього, також наголошується, що заявлена стабільна підтримка протоколу HTTP/2, оскільки раніше компоненти для HTTP/2 були представлені як експериментальні. Для HTTP/2, такі реалізовано підтримку стиснення за допомогою методу deflate і запити, які визначають запитуваний діапазон байтів (байт-діапазон).
Ми також можемо виявити, що можливість вибірково реєструвати PCAP за допомогою «умовної» опції у розділі «pcap-log». За замовчуванням, усі пакети записуються у файл pcap, якщо для параметра "alerts" встановлено значення "умовний", у журналі відображатимуться лише потоки, для яких було створено попередження. За допомогою значення тегу можна зареєструвати лише пакети з певними тегами.
З іншого боку, згадується, що підтримка фреймворку DPDK (Набір для розробки площини даних) для покращення продуктивності компонентів виявлення вторгнень (IDS) і запобігання вторгненням (IPS), працюючи безпосередньо з мережевим обладнанням і обробляючи мережеві пакети без проходження через стек мережі ядра.
У реалізації системи запобігання вторгненням (IPS) за замовчуванням правила з винятками використовують скидання пакетів (операція DROP), а підсистему журналювання EVE було задокументовано та підтверджено за допомогою схеми JSON для надання вихідних даних у форматі JSON.
З інші зміни що виділяються з цієї нової версії:
- Додано підтримку API NETMAP 14.
- Додано нові ключові слова для перевірки заголовків протоколів HTTP і HTTP2
- Реалізовано можливість виявлення та збереження TLS-сертифікатів клієнтів у реєстрі.
- Додано парсер для протоколу Bittorrent.
- Пропонується початкова реалізація бібліотеки libsuricata для використання функцій Suricata в інших продуктах.
- Додано підтримку VLAN Layer 3.
- Реалізовано оптимізацію продуктивності та споживання пам’яті
- Додано лічильники активних передач і пакетів TCP.
В кінці кінців якщо ви хочете дізнатися більше про це, Ви можете перевірити деталі, пройшовши за наступним посиланням.
Як встановити Suricata на Ubuntu?
Щоб встановити цю утиліту, ми можемо це зробити, додавши до нашої системи наступне сховище. Для цього просто введіть такі команди:
sudo apt-get install software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Якщо у вас проблеми із залежностями, за допомогою наступної команди це вирішено:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Встановлення виконано, рекомендується вимкнути будь-який нестандартний пакет функцій на NIC, яку слухає Суріката.
Вони можуть вимкнути LRO / GRO на мережевому інтерфейсі eth0, використовуючи таку команду:
sudo ethtool -K eth0 gro off lro off
Meerkat підтримує ряд режимів роботи. Ми можемо побачити список усіх режимів виконання за допомогою наступної команди:
sudo /usr/bin/suricata --list-runmodes
За замовчуванням використовується режим роботи autofp означає "автоматичне вирівнювання навантаження з фіксованим потоком". У цьому режимі пакети з кожного різного потоку призначаються одному потоку виявлення. Потоки присвоюються потокам з найменшою кількістю необроблених пакетів.
Тепер ми можемо приступити до запустити Suricata в режимі реального часу pcap, використовуючи таку команду:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal