सुरीकाटा एक खुला स्रोत आधारित घुसपैठ का पता लगाने वाली प्रणाली और घुसपैठ की रोकथाम प्रणाली है।
ढाई साल के विकास के बाद, OISF ने लॉन्च का अनावरण किया घुसपैठ का पता लगाने और रोकथाम प्रणाली का नया संस्करण, «मीरकैट 7.0″, जो विभिन्न प्रकार के यातायात का निरीक्षण करने के लिए उपकरण प्रदान करता है।
सुरीकाटा कॉन्फ़िगरेशन में, इसे स्नॉर्ट प्रोजेक्ट द्वारा विकसित हस्ताक्षर डेटाबेस, साथ ही उभरते खतरों और उभरते खतरों प्रो नियमसेट का उपयोग करने की अनुमति है।
सुरीकाटा 7.0 की मुख्य खबर
Suricata 7.0 के इस नए संस्करण में, जो प्रस्तुत किया गया है, सबसे उल्लेखनीय परिवर्तनों में से एक यह है कि लैंडलॉक एप्लिकेशन आइसोलेशन तंत्र के लिए समर्थन, जो सुरक्षित सैंडबॉक्स बनाने की प्रक्रिया को सक्षम बनाता है, मौजूदा सिस्टम एक्सेस कंट्रोल तंत्र के शीर्ष पर एक अतिरिक्त परत के रूप में कार्यान्वित किया जाता है। पहुंच प्रदान करने का तर्क BPF प्रोग्राम का उपयोग करके निर्धारित किया जाता है, लेकिन seccomp-bpf के विपरीत, लैंडलॉक सिस्टम कॉल और उनके तर्कों को फ़िल्टर नहीं करता है, लेकिन फ़ाइल पदानुक्रम जैसे कर्नेल ऑब्जेक्ट के उपयोग को प्रतिबंधित करने की अनुमति देता है (उदाहरण के लिए, कार्यशील निर्देशिका के बाहर फ़ाइलों तक पहुंच से इनकार करना)।
Suricata 7.0 में एक और बदलाव जो सामने आता है वह है घुसपैठ का पता लगाने वाले घटकों को तेज़ करने की क्षमता (आईडीएस) AF_XDP तंत्र का उपयोग करना, जो कर्नेल नेटवर्किंग स्टैक को दरकिनार करते हुए पैकेटों को यूजर-स्पेस ड्राइवर पर रीडायरेक्ट करके कैप्चर करने की अनुमति देता है।
साथ ही इस बात पर भी प्रकाश डाला है HTTP/2 प्रोटोकॉल के लिए स्थिर समर्थन की घोषणा की, चूँकि पहले, HTTP/2 के घटकों को प्रयोगात्मक रूप में प्रस्तुत किया गया था। HTTP/2 के लिए, हाँऔर डिफ्लेट विधि का उपयोग करके संपीड़न के लिए समर्थन लागू किया है और अनुरोध जो अनुरोधित बाइट रेंज (बाइट-रेंज) निर्दिष्ट करते हैं।
हम यह भी पा सकते हैं कि "सशर्त" विकल्प का उपयोग करके पीसीएपी को चुनिंदा रूप से लॉग करने की क्षमता "पीकैप-लॉग" अनुभाग में। डिफ़ॉल्ट रूप से, सभी पैकेट pcap फ़ाइल में दर्ज हैं, यदि "अलर्ट" का मान "सशर्त" विकल्प पर सेट है, तो लॉग केवल उन थ्रेड्स को दिखाएगा जिनके लिए चेतावनियाँ उत्पन्न की गई थीं। टैग मान के साथ, केवल कुछ टैग वाले पैकेज ही पंजीकृत किए जा सकते हैं।
दूसरी ओर, यह उल्लेख किया गया है कि डीपीडीके ढांचे के लिए समर्थन (डेटा प्लेन डेवलपमेंट किट) घुसपैठ का पता लगाने वाले घटकों के प्रदर्शन में सुधार करने के लिए (आईडीएस) और घुसपैठ की रोकथाम (आईपीएस) नेटवर्क उपकरण के साथ सीधे काम करके और कर्नेल नेटवर्क स्टैक से गुजरे बिना नेटवर्क पैकेट को संसाधित करके।
घुसपैठ रोकथाम प्रणाली (आईपीएस) कार्यान्वयन में, डिफ़ॉल्ट रूप से, अपवाद वाले नियम पैकेट ड्रॉप्स (डीआरओपी ऑपरेशन) का उपयोग करते हैं और ईवीई लॉगिंग सबसिस्टम को घटनाओं के जेएसओएन आउटपुट प्रदान करने के लिए जेएसओएन स्कीमा का उपयोग करके दस्तावेज और मान्य किया गया है।
की अन्य परिवर्तन कि इस नए संस्करण से बाहर खड़े हो जाओ:
- NETMAP 14 API के लिए समर्थन जोड़ा गया।
- HTTP और HTTP2 प्रोटोकॉल हेडर निरीक्षण के लिए नए कीवर्ड जोड़े गए
- क्लाइंट टीएलएस प्रमाणपत्रों का पता लगाने और उन्हें रजिस्ट्री में सहेजने की क्षमता लागू की गई।
- बिटटोरेंट प्रोटोकॉल के लिए एक पार्सर जोड़ा गया।
- अन्य उत्पादों में सुरीकाटा कार्यक्षमता का उपयोग करने के लिए लिबसुरिकाटा लाइब्रेरी का प्रारंभिक कार्यान्वयन प्रस्तावित है।
- वीएलएएन परत 3 के लिए समर्थन जोड़ा गया।
- कार्यान्वित प्रदर्शन और मेमोरी खपत अनुकूलन
- सक्रिय ट्रांसमिशन और टीसीपी पैकेट के लिए काउंटर जोड़े गए।
अंत में यदि आप इसके बारे में अधिक जानना चाहते हैं, आप जाकर विवरण देख सकते हैं नीचे दिए गए लिंक पर।
उबंटू पर सुरिकता कैसे स्थापित करें?
इस उपयोगिता को स्थापित करने के लिए, हम इसे अपने सिस्टम में निम्नलिखित भंडार जोड़कर कर सकते हैं। ऐसा करने के लिए, बस निम्नलिखित कमांड टाइप करें:
sudo apt-get install software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
यदि आपको निर्भरता की समस्या है, निम्नलिखित कमांड के साथ इसे हल किया गया है:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
स्थापना की गई, यह किसी भी बंद सुविधा पैक को अक्षम करने के लिए अनुशंसित है जिस एनआईसी पर सुरिकता सुन रही है।
वे निम्नलिखित कमांड का उपयोग करके eth0 नेटवर्क इंटरफ़ेस पर LRO / GRO को अक्षम कर सकते हैं:
sudo ethtool -K eth0 gro off lro off
Meerkat कई ऑपरेटिंग मोड का समर्थन करता है। हम निम्नलिखित कमांड के साथ सभी निष्पादन मोड की सूची देख सकते हैं:
sudo /usr/bin/suricata --list-runmodes
डिफॉल्ट रन मोड का उपयोग ऑटोफप "स्वचालित फिक्स्ड फ्लो लोड बैलेंसिंग" के लिए किया जाता है। इस मोड में, प्रत्येक अलग-अलग स्ट्रीम के पैकेट एकल डिटेक्शन थ्रेड को असाइन किए जाते हैं। प्रवाह थ्रेड्स को अनप्रोसेस्ड पैकेटों की सबसे कम संख्या के साथ सौंपा गया है।
अब हम आगे बढ़ सकते हैं सुरकाटा को पीक लाइव मोड में शुरू करें, निम्नलिखित आदेश का उपयोग कर:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal