ProHoster > блог > Навіны інтэрнэту > Даступная сістэма выяўлення нападаў Suricata 5.0

Даступная сістэма выяўлення нападаў Suricata 5.0

Арганізацыя OISF (Open Information Security Foundation) апублікавала рэліз сістэмы выяўлення і прадухілення сеткавых уварванняў Сурыкат 5.0, Якая дае сродкі інспектавання розных відаў трафіку. У канфігурацыях Suricata дапушчальна задзейнічанне базы сігнатур, якая развіваецца праектам Snort, а таксама набораў правілаў Emerging Threats и Emerging Threats Pro. Зыходныя тэксты праекта распаўсюджваюцца пад ліцэнзіяй GPLv2.

Асноўныя змены:

  • Прадстаўлены новыя модулі разбору і вядзення лога для пратаколаў
    RDP, SNMP і SIP, напісаныя на мове Rust. У модуль для разбору FTP дададзена магчымасць вядзення лога праз падсістэму EVE, якая забяспечвае выснову падзей у фармаце JSON;

  • У дадатак да якая з'явілася ў мінулым выпуску падтрымцы метаду ідэнтыфікацыі TLS-кліентаў JA3 дададзеная падтрымка метаду JA3S, які дазваляе на аснове асаблівасцяў узгаднення злучэнняў і задаваных параметраў вызначаць якое ПА выкарыстоўваецца для ўсталёўкі злучэння (напрыклад, дазваляе вызначыць выкарыстанне Tor і іншых тыпавых прыкладанняў). JA3 дае магчымасць вызначаць кліентаў, а JA3S - серверы. Вынікі вызначэння можна выкарыстоўваць у мове задання правіл і ў логах;
  • Дададзена эксперыментальная магчымасць супастаўлення з выбаркай з вялікіх набораў дадзеных, якая рэалізуецца пры дапамозе новых аперацый dataset і datarep. Напрыклад, магчымасць дастасоўная для пошуку масак у вялікіх чорных спісах, якія налічваюць мільёны запісаў;
  • У рэжыме інспектавання HTTP забяспечана поўнае пакрыццё ўсіх сітуацый, апісаных у тэставым наборы. HTTP Evader (напрыклад, ахоплівае метады, якія прымяняюцца для ўтойвання ў трафіку шкоднаснай актыўнасці);
  • Сродкі распрацоўкі модуляў на мове Rust перакладзены з опцый у разрад абавязковых штатных магчымасцяў. У далейшым плануецца пашырэнне прымянення Rust у кодавай базе праекта і паступовая замена модуляў на аналагі, распрацаваныя на Rust;
  • Рухавічок вызначэння пратаколаў палепшаны ў галіне павышэння дакладнасці і апрацоўкі асінхронных патокаў трафіку;
  • У EVE-лог дададзена падтрымка новага тыпу запісаў "anomaly", у якіх захоўваюцца нетыповыя падзеі, якія выяўляюцца пры дэкадаванні пакетаў. У EVE таксама пашырана адлюстраванне інфармацыі аб VLAN і інтэрфейсах захопу трафіку. Дададзена опцыя для захавання ўсіх HTTP-загалоўкаў у http-запісах лога EVE;
  • У апрацоўшчыках на базе eBPF забяспечана падтрымка апаратных механізмаў паскарэння захопу пакетаў. Апаратнае паскарэнне пакуль абмежавана сеткавымі адаптарамі Netronome, але хутка з'явіцца і для іншага абсталявання;
  • Перапісаны код для захопу трафіку пры дапамозе фрэймворка Netmap. Дададзена магчымасць выкарыстання пашыраных магчымасцяў Netmap, такіх як віртуальны камутатар. Вале;
  • Дададзена падтрымка новай схемы вызначэння ключавых слоў для "ліпкіх буфераў" (Sticky Buffers). Новая схема вызначана ў фармаце "протокол.буфер", напрыклад, для инроспектирования URI ключавое слова прыме выгляд "http.uri" замест "http_uri";
  • Увесь выкарыстоўваны Python код правераны на сумяшчальнасць з
    Python 3;

  • Спынена падтрымка архітэктуры Tilera, тэкставага лога dns.log і старога лога files-json.log.

Асаблівасці Suricata:

  • Выкарыстанне для вываду вынікаў праверкі уніфікаванага фармату Unified2, таксама выкарыстоўванага праектам Snort, што дазваляе выкарыстоўваць стандартныя інструменты для аналізу, такія як barnyard2. Магчымасць інтэграцыі з прадуктамі BASE, Snorby, Sguil і SQueRT. Падтрымка вываду ў фармаце PCAP;
  • Падтрымка аўтаматычнага вызначэння пратаколаў (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB і да т.п.), якая дазваляе апераваць у правілах толькі тыпам пратаколу, без прывязкі да нумара порта (напрыклад, блакаваць HTTP трафік на нестандартным порце) . Наяўнасць дэкадавальнікаў для пратаколаў HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
  • Магутная сістэма аналізу HTTP-трафіка, якая выкарыстоўвае для разбору і нармалізацыі HTTP-трафіка адмысловую бібліятэку HTP, створаную аўтарам праекту Mod_Security. Даступны модуль для вядзення падрабязнага лога транзітных HTTP перасылак, лог захоўваецца ў стандартным фармаце
    Apache. Падтрымліваецца выманне і праверка перадаюцца па пратаколе HTTP файлаў. Падтрымка разбору сціснутага кантэнту. Магчымасць ідэнтыфікацыі па URI, Cookie, загалоўкам, user-agent, целу запыту/адказу;

  • Падтрымка розных інтэрфейсаў для перахопу трафіку, у тым ліку NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Магчымы аналіз ужо захаваных файлаў у фармаце PCAP;
  • Высокая прадукцыйнасць, здольнасць апрацоўваць на звычайным абсталяванні патокі да 10 гігабіт/сек.
  • Высокапрадукцыйны механізм супастаўлення па масцы з вялікімі наборамі IP адрасоў. Падтрымка вылучэнне кантэнту па масцы і рэгулярным выразам. Вылучэнне файлаў з трафіку, у тым ліку іх ідэнтыфікацыя па імі, тыпу або кантрольнай суме MD5.
  • Магчымасць выкарыстання зменных у правілах: можна захаваць інфармацыю з патоку і пазней выкарыстоўваць яе ў іншых правілах;
  • Выкарыстанне фармату YAML у файлах канфігурацыі, што дазваляе захаваць навочнасць пры лёгкасці машыннай апрацоўкі;
  • Поўная падтрымка IPv6;
  • Убудаваны рухавічок для аўтаматычнай дэфрагментацыі і перазборкі пакетаў, які дазваляе забяспечыць карэктную апрацоўку струменяў, незалежна ад парадку паступлення пакетаў;
  • Падтрымка пратаколаў тунэлявання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Падтрымка дэкадавання пакетаў: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Рэжым вядзення лога ключоў і сертыфікатаў, якія фігуруюць у рамках злучэнняў TLS/SSL;
  • Магчымасць напісання скрыптоў на мове Lua для забеспячэння пашыранага аналізу і рэалізацыі дадатковых магчымасцяў, неабходных для вызначэння відаў трафіку, для якіх не дастаткова стандартных правілаў.

    • Крыніца: opennet.ru

Дадаць каментар