Пускане на система за откриване на проникване Suricata 6.0

След година на развитие, организацията OISF (Отворена фондация за информационна сигурност). публикувано пускане на система за откриване и предотвратяване на проникване в мрежата Meerkat 6.0, който предоставя средство за проверка на различни видове трафик. В конфигурации Suricata е допустимо да се използва бази за подписи, разработен от проекта Snort, както и набори от правила Възникващи заплахи и Emerging Threats Pro. Изходният код на проекта разпространение лицензиран под GPLv2.

Основни промени:

• Първоначална поддръжка за HTTP/2.
• Поддръжка за RFB и MQTT протоколи, включително възможност за дефиниране на протокола и поддържане на дневник.
• Възможност за логване за протокола DCERPC.
• Значително подобрение в производителността на регистриране чрез подсистемата EVE, която осигурява извеждане на събития във формат JSON. Ускорението беше постигнато благодарение на използването на нов конструктор на запаси JSON, написан на езика Rust.
• Мащабируемостта на регистрационната система EVE е увеличена и е въведена възможност за поддържане на отделен лог файл за всяка нишка.
• Възможност за дефиниране на условия за нулиране на информация в дневника.
• Възможност за отразяване на MAC адреси в дневника на EVE и увеличаване на детайлите на дневника на DNS.
• Подобряване на производителността на поточния двигател.
• Поддръжка за идентифициране на реализации на SSH (ХАШ).
• Внедряване на тунелния декодер GENEVE.
• Кодът за обработка е пренаписан на езика Rust ASN.1, DCERPC и SSH. Rust също поддържа нови протоколи.
• В езика за дефиниране на правила поддръжката за параметъра from_end е добавена към ключовата дума byte_jump, а поддръжката за параметъра bitmask е добавена към byte_test. Внедрена е ключовата дума pcrexform, за да се позволи използването на регулярни изрази (pcre) за прихващане на подниз. Добавено преобразуване на urldecode. Добавена ключова дума byte_math.
• Предоставя възможност за използване на cbindgen за генериране на обвързвания на езици Rust и C.
• Добавена първоначална поддръжка на плъгини.

Характеристики на Suricata:

• Използване на унифициран формат за показване на резултатите от валидирането унифициран2, също използван от проекта Snort, позволяващ използването на стандартни инструменти за анализ като хамбар2. Възможност за интегриране с BASE, Snorby, Sguil и SQueRT продукти. Поддръжка за извеждане в PCAP формат;
• Поддръжка за автоматично откриване на протоколи (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.н.), което ви позволява да работите в правилата само по типа на протокола, без позоваване на номера на порта (например , за блокиране на HTTP трафик на нестандартен порт) . Декодери за HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH протоколи;
• Мощна система за анализ на HTTP трафик, която използва специална HTP библиотека, създадена от автора на проекта Mod_Security, за анализиране и нормализиране на HTTP трафик. Наличен е модул за поддържане на подробен дневник на транзитните HTTP трансфери, като дневникът се записва в стандартен формат
  Apache. Поддържа се извличане и проверка на файлове, прехвърлени чрез HTTP протокол. Поддръжка за анализиране на компресирано съдържание. Възможност за идентифициране чрез URI, бисквитка, заглавки, потребителски агент, тяло на заявка/отговор;

• Поддръжка на различни интерфейси за прихващане на трафик, включително NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Възможно е да се анализират вече записани файлове във формат PCAP;
• Висока производителност, възможност за обработка на потоци до 10 гигабита / сек на конвенционално оборудване.
• Високопроизводителна машина за съвпадение на маска с големи набори от IP адреси. Поддръжка за избор на съдържание чрез маска и регулярни изрази. Разделяне на файлове от трафик, включително идентифицирането им по име, тип или MD5 контролна сума.
• Възможност за използване на променливи в правила: можете да запазите информация от потока и по-късно да я използвате в други правила;
• Използване на YAML формата в конфигурационните файлове, което ви позволява да поддържате видимост с лесна машинна обработка;
• Пълна поддръжка на IPv6;
• Вграден двигател за автоматично дефрагментиране и повторно сглобяване на пакети, което позволява да се осигури коректна обработка на потоците, независимо от реда, в който пристигат пакетите;
• Поддръжка на тунелни протоколи: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Поддръжка на декодиране на пакети: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• Режим на регистриране за ключове и сертификати, които се появяват в рамките на TLS/SSL връзки;
• Възможността за писане на Lua скриптове за предоставяне на разширен анализ и внедряване на допълнителни функции, необходими за идентифициране на типове трафик, за които стандартните правила не са достатъчни.

Източник: opennet.ru