ProHoster > блог > Навіны інтэрнэту > Выпуск сістэмы выяўлення нападаў Suricata 6.0

Выпуск сістэмы выяўлення нападаў Suricata 6.0

Пасля года распрацоўкі арганізацыя OISF (Open Information Security Foundation) апублікавала рэліз сістэмы выяўлення і прадухілення сеткавых уварванняў Сурыкат 6.0, Якая дае сродкі інспектавання розных відаў трафіку. У канфігурацыях Suricata дапушчальна задзейнічанне базы сігнатур, якая развіваецца праектам Snort, а таксама набораў правілаў Emerging Threats и Emerging Threats Pro. Зыходныя тэксты праекта распаўсюджваюцца пад ліцэнзіяй GPLv2.

Асноўныя змены:

  • Пачатковая падтрымка HTTP/2.
  • Падтрымка пратаколаў RFB і MQTT, у тым ліку магчымасць вызначэння пратакола і вядзення лога.
  • Магчымасць вядзення лога для пратаколу DCERPC.
  • Значнае павышэнне прадукцыйнасці вядзення лога праз падсістэму EVE, якая забяспечвае вывад падзей у фармаце JSON. Паскарэнне дасягнута дзякуючы задзейнічанню новага пабудоўшчык сцёк JSON, напісанага на мове Rust.
  • Падвышаная маштабаванасць сістэмы логаў EVE і рэалізаваная магчымасць вядзення гатэльнага лог-файла на кожны струмень.
  • Магчымасць вызначэння ўмоў для скіду звестак у лог.
  • Магчымасць адлюстравання MAC-адрасоў у логу EVE і павышэнне дэталізацыі лога DNS.
  • Падвышэнне прадукцыйнасці рухавічка апрацоўкі струменяў (flow engine).
  • Падтрымка ідэнтыфікацыі рэалізацый SSH (HASSH).
  • Рэалізацыя дэкадавальніка тунэляў GENEVE.
  • На мове Rust перапісаны код для апрацоўкі АСН.1, DCERPC і SSH. На Rust таксама рэалізавана падтрымка новых пратаколаў.
  • У мове вызначэння правіл у ключавым слове byte_jump дададзена падтрымка параметра from_end, а ў byte_test - параметра bitmask. Рэалізавана ключавое слова pcrexform, якое дазваляе выкарыстоўваць рэгулярныя выразы (pcre) для захопу падрадка. Дададзена пераўтварэнне urldecode. Дададзена ключавое слова byte_math.
  • Прадастаўлення магчымасць выкарыстання cbindgen для генерацыі прывязак на мовах Rust і C.
  • Дададзена пачатковая падтрымка плагінаў.

Асаблівасці Suricata:

  • Выкарыстанне для вываду вынікаў праверкі уніфікаванага фармату Unified2, таксама выкарыстоўванага праектам Snort, што дазваляе выкарыстоўваць стандартныя інструменты для аналізу, такія як barnyard2. Магчымасць інтэграцыі з прадуктамі BASE, Snorby, Sguil і SQueRT. Падтрымка вываду ў фармаце PCAP;
  • Падтрымка аўтаматычнага вызначэння пратаколаў (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB і да т.п.), якая дазваляе апераваць у правілах толькі тыпам пратаколу, без прывязкі да нумара порта (напрыклад, блакаваць HTTP трафік на нестандартным порце) . Наяўнасць дэкадавальнікаў для пратаколаў HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
  • Магутная сістэма аналізу HTTP-трафіка, якая выкарыстоўвае для разбору і нармалізацыі HTTP-трафіка адмысловую бібліятэку HTP, створаную аўтарам праекту Mod_Security. Даступны модуль для вядзення падрабязнага лога транзітных HTTP перасылак, лог захоўваецца ў стандартным фармаце
    Apache. Падтрымліваецца выманне і праверка перадаюцца па пратаколе HTTP файлаў. Падтрымка разбору сціснутага кантэнту. Магчымасць ідэнтыфікацыі па URI, Cookie, загалоўкам, user-agent, целу запыту/адказу;

  • Падтрымка розных інтэрфейсаў для перахопу трафіку, у тым ліку NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Магчымы аналіз ужо захаваных файлаў у фармаце PCAP;
  • Высокая прадукцыйнасць, здольнасць апрацоўваць на звычайным абсталяванні патокі да 10 гігабіт/сек.
  • Высокапрадукцыйны механізм супастаўлення па масцы з вялікімі наборамі IP адрасоў. Падтрымка вылучэнне кантэнту па масцы і рэгулярным выразам. Вылучэнне файлаў з трафіку, у тым ліку іх ідэнтыфікацыя па імі, тыпу або кантрольнай суме MD5.
  • Магчымасць выкарыстання зменных у правілах: можна захаваць інфармацыю з патоку і пазней выкарыстоўваць яе ў іншых правілах;
  • Выкарыстанне фармату YAML у файлах канфігурацыі, што дазваляе захаваць навочнасць пры лёгкасці машыннай апрацоўкі;
  • Поўная падтрымка IPv6;
  • Убудаваны рухавічок для аўтаматычнай дэфрагментацыі і перазборкі пакетаў, які дазваляе забяспечыць карэктную апрацоўку струменяў, незалежна ад парадку паступлення пакетаў;
  • Падтрымка пратаколаў тунэлявання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Падтрымка дэкадавання пакетаў: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Рэжым вядзення лога ключоў і сертыфікатаў, якія фігуруюць у рамках злучэнняў TLS/SSL;
  • Магчымасць напісання скрыптоў на мове Lua для забеспячэння пашыранага аналізу і рэалізацыі дадатковых магчымасцяў, неабходных для вызначэння відаў трафіку, для якіх не дастаткова стандартных правілаў.

Крыніца: opennet.ru

Дадаць каментар