ProHoster > Blog > internet nuus > Vrystelling van Suricata 6.0-inbraakdetectiestelsel

Vrystelling van Suricata 6.0-inbraakdetectiestelsel

ПослС Π³ΠΎΠ΄Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ организация OISF (Open Information Security Foundation) gepubliseer vrystelling van netwerk indringing opsporing en voorkoming stelsel Meerkat 6.0, wat gereedskap verskaf om verskillende soorte verkeer te inspekteer. In Suricata-konfigurasies is dit moontlik om te gebruik handtekening databasisse, ontwikkel deur die Snort-projek, sowel as stelle reΓ«ls Opkomende bedreigings ΠΈ Emerging Threats Pro. Projek bronne versprei gelisensieer onder GPLv2.

Belangrikste veranderinge:

  • ΠΠ°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTP/2.
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² RFB ΠΈ MQTT, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΈ вСдСния Π»ΠΎΠ³Π°.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния Π»ΠΎΠ³Π° для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° DCERPC.
  • Π—Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ вСдСния Π»ΠΎΠ³Π° Ρ‡Π΅Ρ€Π΅Π· подсистСму EVE, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ Π²Ρ‹Π²ΠΎΠ΄ событий Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON. УскорСниС достигнуто благодаря Π·Π°Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΡŽ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΡΡ‚Ρ€ΠΎΠΈΡ‚Π΅Π»ΡŒ сток JSON, написанного Π½Π° языкС Rust.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π° ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ систСмы Π»ΠΎΠ³ΠΎΠ² EVE ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния ΠΎΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»Π° Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния условий для сброса свСдСний Π² Π»ΠΎΠ³.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ отраТСния MAC-адрСсов Π² Π»ΠΎΠ³Π΅ EVE ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ Π΄Π΅Ρ‚Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π»ΠΎΠ³Π° DNS.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π΄Π²ΠΈΠΆΠΊΠ° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² (flow engine).
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ SSH (HASSH).
  • РСализация Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ GENEVE.
  • На языкС Rust пСрСписан ΠΊΠΎΠ΄ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ASN.1, DCERPC ΠΈ SSH. На Rust Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½ΠΎΠ²Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ².
  • Π’ языкС опрСдСлСния ΠΏΡ€Π°Π²ΠΈΠ» Π² ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΌ словС byte_jump Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° from_end, Π° Π² byte_test β€” ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° bitmask. Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово pcrexform, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ рСгулярныС выраТСния (pcre) для Π·Π°Ρ…Π²Π°Ρ‚Π° подстроки. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΏΡ€Π΅ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Π½ΠΈΠ΅ urldecode. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово byte_math.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½ΠΈΡ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования cbindgen для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ привязок Π½Π° языках Rust ΠΈ C.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π½Π°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ².

Kenmerke van Suricata:

  • Gebruik 'n verenigde formaat om skanderingsresultate te vertoon verenig 2, wat ook deur die Snort-projek gebruik word, wat die gebruik van standaardanalise-instrumente soos skuurplaas 2. Moontlikheid van integrasie met BASE, Snorby, Sguil en SQueRT produkte. PCAP uitset ondersteuning;
  • Ondersteuning vir outomatiese opsporing van protokolle (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ens.), wat jou toelaat om slegs volgens protokoltipe in reΓ«ls te werk, sonder verwysing na die poortnommer (byvoorbeeld, blokkeer HTTP verkeer op 'n nie-standaard hawe). Beskikbaarheid van dekodeerders vir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP en SSH protokolle;
  • 'n Kragtige HTTP-verkeeranalisestelsel wat 'n spesiale HTP-biblioteek gebruik wat deur die skrywer van die Mod_Security-projek geskep is om HTTP-verkeer te ontleed en te normaliseer. 'n Module is beskikbaar vir die handhawing van 'n gedetailleerde log van transito HTTP-oordragte; die log word in 'n standaardformaat gestoor
    Apache. Die herwinning en kontrolering van lΓͺers wat via HTTP versend is, word ondersteun. Ondersteuning vir die ontleding van saamgeperste inhoud. VermoΓ« om te identifiseer deur URI, Koekie, opskrifte, gebruiker-agent, versoek / antwoord liggaam;

  • Ondersteuning vir verskeie koppelvlakke vir verkeersonderskepping, insluitend NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dit is moontlik om reeds gestoorde lΓͺers in PCAP-formaat te ontleed;
  • HoΓ« werkverrigting, vermoΓ« om vloei tot 10 gigabit/sek op konvensionele toerusting te verwerk.
  • HoΓ«prestasie-maskerpasmeganisme vir groot stelle IP-adresse. Ondersteuning vir die keuse van inhoud deur masker en gereelde uitdrukkings. Isoleer lΓͺers van verkeer, insluitend hul identifikasie volgens naam, tipe of MD5-kontrolesom.
  • VermoΓ« om veranderlikes in reΓ«ls te gebruik: jy kan inligting van 'n stroom stoor en dit later in ander reΓ«ls gebruik;
  • Gebruik van die YAML-formaat in konfigurasielΓͺers, wat jou toelaat om duidelikheid te handhaaf terwyl dit maklik is om te verwerk;
  • Volle IPv6-ondersteuning;
  • Ingeboude enjin vir outomatiese defragmentering en hersamestelling van pakkies, wat die korrekte verwerking van strome moontlik maak, ongeag die volgorde waarin pakkies aankom;
  • Ondersteuning vir tonnelprotokolle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakketdekoderingondersteuning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modus vir die aanteken van sleutels en sertifikate wat binne TLS/SSL-verbindings verskyn;
  • Die vermoΓ« om skrifte in Lua te skryf om gevorderde analise te verskaf en bykomende vermoΓ«ns te implementeer wat nodig is om tipes verkeer te identifiseer waarvoor standaardreΓ«ls nie voldoende is nie.

Bron: opennet.ru

Voeg 'n opmerking