ProHoster > Blog > internet xəbərləri > Suricata 6.0 müdaxilə aşkarlama sisteminin buraxılışı

Suricata 6.0 müdaxilə aşkarlama sisteminin buraxılışı

Bir illik inkişafdan sonra OISF (Açıq İnformasiya Təhlükəsizliyi Fondu) təşkilatı nəşr olundu şəbəkəyə müdaxilənin aşkarlanması və qarşısının alınması sisteminin buraxılması Meerkat 6.0, müxtəlif növ trafikin yoxlanılması üçün alətlər təqdim edir. Suricata konfiqurasiyalarında istifadə etmək mümkündür imza məlumat bazaları, Snort layihəsi tərəfindən hazırlanmış, həmçinin qaydalar toplusu Yaranan Təhdidlər и Emerging Threats Pro. Layihə mənbələri yayılma GPLv2 altında lisenziyalıdır.

Əsas dəyişikliklər:

  • HTTP/2 üçün ilkin dəstək.
  • RFB və MQTT protokollarına dəstək, o cümlədən protokolu müəyyən etmək və jurnal saxlamaq imkanı.
  • DCERPC protokolu üçün giriş imkanı.
  • JSON formatında hadisə çıxışını təmin edən EVE alt sistemi vasitəsilə giriş performansında əhəmiyyətli təkmilləşdirmə. Sürətlənmə Rust dilində yazılmış yeni JSON fond qurucusunun istifadəsi sayəsində əldə edildi.
  • EVE log sisteminin miqyası artırılmış və hər bir mövzu üçün ayrıca log faylı saxlamaq imkanı həyata keçirilmişdir.
  • Məlumatların jurnala sıfırlanması üçün şərtləri müəyyən etmək imkanı.
  • MAC ünvanlarını EVE jurnalında əks etdirmək və DNS jurnalının detallarını artırmaq imkanı.
  • Axın mühərrikinin işini yaxşılaşdırmaq.
  • SSH tətbiqlərini müəyyən etmək üçün dəstək (HASSH).
  • GENEVE tunel dekoderinin tətbiqi.
  • Emal üçün kod Rust dilində yenidən yazılmışdır ASN.1, DCERPC və SSH. Rust həmçinin yeni protokolları dəstəkləyir.
  • Qaydaların tərifi dilində byte_jump açar sözünə from_end parametri üçün dəstək, byte_test-ə isə bitmask parametri üçün dəstək əlavə edilmişdir. Normal ifadələrin (pcre) alt sətri tutmaq üçün istifadə edilməsinə icazə vermək üçün pcrexform açar sözünü tətbiq etdi. Urldecode çevrilməsi əlavə edildi. byte_math açar sözü əlavə edildi.
  • Rust və C dillərində bağlamalar yaratmaq üçün cbindgen istifadə etmək imkanı verir.
  • İlkin plagin dəstəyi əlavə edildi.

Suricatanın xüsusiyyətləri:

  • Skan nəticələrini göstərmək üçün vahid formatdan istifadə Birləşdirilmiş 2kimi standart analiz vasitələrindən istifadə etməyə imkan verən Snort layihəsi tərəfindən də istifadə olunur anbar 2. BASE, Snorby, Sguil və SQueRT məhsulları ilə inteqrasiya imkanı. PCAP çıxış dəstəyi;
  • Protokolların (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB və s.) avtomatik aşkarlanmasına dəstək, port nömrəsinə istinad etmədən (məsələn, HTTP-ni bloklamaq) yalnız protokol növü üzrə qaydalarda işləməyə imkan verir. qeyri-standart limanda trafik). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP və SSH protokolları üçün dekoderlərin mövcudluğu;
  • HTTP trafikini təhlil etmək və normallaşdırmaq üçün Mod_Security layihəsinin müəllifi tərəfindən yaradılmış xüsusi HTP kitabxanasından istifadə edən güclü HTTP trafik təhlili sistemi. Tranzit HTTP köçürmələrinin ətraflı jurnalını saxlamaq üçün modul mövcuddur; jurnal standart formatda saxlanılır
    Apache. HTTP vasitəsilə ötürülən faylların axtarışı və yoxlanılması dəstəklənir. Sıxılmış məzmunun təhlili üçün dəstək. URI, Cookie, başlıqlar, istifadəçi-agent, sorğu/cavab orqanı ilə müəyyən etmək imkanı;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING daxil olmaqla, trafikin qarşısını almaq üçün müxtəlif interfeyslərə dəstək. Artıq saxlanılmış faylları PCAP formatında təhlil etmək mümkündür;
  • Yüksək performans, adi avadanlıqda 10 gigabit/s-ə qədər axınları emal etmək imkanı.
  • Böyük IP ünvanları üçün yüksək performanslı maska ​​uyğunlaşdırma mexanizmi. Maska və müntəzəm ifadələrlə məzmun seçmək üçün dəstək. Faylların ad, növ və ya MD5 yoxlama məbləği ilə identifikasiyası daxil olmaqla, trafikdən təcrid edilməsi.
  • Qaydalarda dəyişənlərdən istifadə etmək bacarığı: siz axındakı məlumatları saxlaya və daha sonra digər qaydalarda istifadə edə bilərsiniz;
  • Konfiqurasiya fayllarında YAML formatının istifadəsi asan emal olunarkən aydınlığı qorumağa imkan verir;
  • Tam IPv6 dəstəyi;
  • Paketlərin gəlmə ardıcıllığından asılı olmayaraq axınların düzgün işlənməsinə imkan verən paketlərin avtomatik defraqmentasiyası və yenidən yığılması üçün quraşdırılmış mühərrik;
  • Tunel protokolları üçün dəstək: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paketin dekodlanması dəstəyi: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL bağlantılarında görünən açarların və sertifikatların daxil edilməsi rejimi;
  • Qabaqcıl təhlil təmin etmək və standart qaydaların kifayət etmədiyi trafik növlərini müəyyən etmək üçün lazım olan əlavə imkanları həyata keçirmək üçün Lua-da skriptlər yazmaq bacarığı.

Mənbə: opennet.ru

Добавить комментарий