🥇সুরিকাটা 5.0 অনুপ্রবেশ সনাক্তকরণ সিস্টেম উপলব্ধ

সংস্থা OISF (ওপেন ইনফরমেশন সিকিউরিটি ফাউন্ডেশন) প্রকাশিত নেটওয়ার্ক অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ সিস্টেমের মুক্তি মিরকাট ৪.০, যা বিভিন্ন ধরনের ট্রাফিক পরিদর্শনের একটি উপায় প্রদান করে। Suricata কনফিগারেশনে, এটি ব্যবহার করা অনুমোদিত স্বাক্ষর ঘাঁটি, Snort প্রকল্প, সেইসাথে নিয়ম সেট দ্বারা উন্নত উদীয়মান হুমকি и উদীয়মান হুমকি প্রো. প্রোজেক্ট সোর্স কোড ছড়িয়ে পড়া GPLv2 এর অধীনে লাইসেন্সপ্রাপ্ত।

অব্যবস্থাপনা:

প্রোটোকলের জন্য নতুন পার্সিং এবং লগিং মডিউল চালু করা হয়েছে
RDP, SNMP এবং SIP মরিচা লেখা। EVE সাবসিস্টেমের মাধ্যমে লগ করার ক্ষমতা, যা JSON ফর্ম্যাটে ইভেন্টের আউটপুট প্রদান করে, FTP পার্সিং মডিউলে যোগ করা হয়েছে;
পূর্ববর্তী রিলিজে প্রবর্তিত JA3 TLS ক্লায়েন্ট প্রমাণীকরণ পদ্ধতির সমর্থন ছাড়াও, পদ্ধতির জন্য সমর্থন JA3S, অনুমতি সংযোগের আলোচনার সুনির্দিষ্ট বৈশিষ্ট্য এবং নির্দিষ্ট পরামিতিগুলির উপর ভিত্তি করে, সংযোগ স্থাপনের জন্য কোন সফ্টওয়্যার ব্যবহার করা হয় তা নির্ধারণ করুন (উদাহরণস্বরূপ, এটি আপনাকে টর এবং অন্যান্য সাধারণ অ্যাপ্লিকেশনগুলির ব্যবহার নির্ধারণ করতে দেয়)। JA3 ক্লায়েন্ট এবং JA3S - সার্ভারগুলিকে সংজ্ঞায়িত করা সম্ভব করে তোলে। সংকল্পের ফলাফলগুলি নিয়ম নির্ধারণের ভাষা এবং লগগুলিতে ব্যবহার করা যেতে পারে;
নতুন ক্রিয়াকলাপ ব্যবহার করে বাস্তবায়িত বড় ডেটাসেটের নমুনার সাথে মেলে পরীক্ষামূলক ক্ষমতা যুক্ত করা হয়েছে ডেটাসেট এবং ডেটারেপ. উদাহরণস্বরূপ, লক্ষ লক্ষ এন্ট্রি সহ বৃহৎ কালো তালিকায় মাস্ক অনুসন্ধানের জন্য বৈশিষ্ট্যটি প্রযোজ্য;
HTTP পরিদর্শন মোড টেস্ট স্যুটে বর্ণিত সমস্ত পরিস্থিতির সম্পূর্ণ কভারেজ প্রদান করে HTTP এভাডার (উদাহরণস্বরূপ, ট্র্যাফিকের দূষিত কার্যকলাপ লুকানোর জন্য ব্যবহৃত পদ্ধতিগুলি কভার করে);
মরিচা মডিউল ডেভেলপমেন্ট টুল অপশন থেকে প্রয়োজনীয় স্ট্যান্ডার্ড ফিচারে সরানো হয়েছে। ভবিষ্যতে, প্রকল্পের কোড বেসে মরিচা ব্যবহার প্রসারিত করার পরিকল্পনা করা হয়েছে এবং ধীরে ধীরে মডিউলগুলিকে মরিচায় তৈরি অ্যানালগগুলির সাথে প্রতিস্থাপন করা হবে;
প্রোটোকল সনাক্তকরণ ইঞ্জিনটি অ্যাসিঙ্ক্রোনাস ট্র্যাফিক প্রবাহের সঠিকতা এবং পরিচালনার ক্ষেত্রে উন্নত করা হয়েছে;
একটি নতুন রেকর্ড টাইপ, "অ্যানোমালি" এর জন্য EVE লগে সমর্থন যোগ করা হয়েছে, যা প্যাকেটগুলি ডিকোড করার সময় শনাক্ত করা অস্বাভাবিক ঘটনাগুলি সঞ্চয় করে৷ EVE এছাড়াও VLAN এবং ট্র্যাফিক ক্যাপচার ইন্টারফেস সম্পর্কে তথ্য প্রদর্শনকে প্রসারিত করেছে। EVE লগ HTTP এন্ট্রিতে সমস্ত HTTP হেডার সংরক্ষণ করার বিকল্প যোগ করা হয়েছে;
eBPF-ভিত্তিক হ্যান্ডলাররা প্যাকেট ক্যাপচার ত্বরান্বিত করার জন্য হার্ডওয়্যার প্রক্রিয়াগুলির জন্য সমর্থন প্রদান করে। হার্ডওয়্যার ত্বরণ বর্তমানে নেট্রোনোম নেটওয়ার্ক অ্যাডাপ্টারের মধ্যে সীমাবদ্ধ, তবে শীঘ্রই অন্যান্য সরঞ্জামগুলির জন্য উপস্থিত হবে;
Netmap ফ্রেমওয়ার্ক ব্যবহার করে ট্র্যাফিক ক্যাপচার করার জন্য পুনরায় লেখা কোড। ভার্চুয়াল সুইচের মতো উন্নত নেটম্যাপ বৈশিষ্ট্যগুলি ব্যবহার করার ক্ষমতা যুক্ত করা হয়েছে VALE;
যোগ করা হয়েছে স্টিকি বাফারের জন্য একটি নতুন কীওয়ার্ড সংজ্ঞা প্রকল্পের জন্য সমর্থন। নতুন স্কিমটি protocol.buffer ফরম্যাটে সংজ্ঞায়িত করা হয়েছে, উদাহরণস্বরূপ, একটি URI আত্মদর্শন করার জন্য, কীওয়ার্ড হবে "http_uri" এর পরিবর্তে "http.uri";
ব্যবহৃত সমস্ত পাইথন কোডের সাথে সামঞ্জস্যের জন্য পরীক্ষা করা হয়
Python3;
Tilera আর্কিটেকচার, dns.log টেক্সট লগ এবং পুরানো ফাইল-json.log লগের জন্য সমর্থন বন্ধ করা হয়েছে।

Suricata এর বৈশিষ্ট্য:

বৈধতা ফলাফল প্রদর্শন করার জন্য একটি ইউনিফাইড ফরম্যাট ব্যবহার করা ঐক্যবদ্ধ2, এছাড়াও Snort প্রকল্প দ্বারা ব্যবহৃত, যেমন মান বিশ্লেষণ সরঞ্জাম ব্যবহার করার অনুমতি দেয় গোয়ালঘর2. BASE, Snorby, Sguil এবং SQueRT পণ্যগুলির সাথে একীভূত করার ক্ষমতা। PCAP বিন্যাসে আউটপুট জন্য সমর্থন;
প্রোটোকলগুলির স্বয়ংক্রিয় সনাক্তকরণের জন্য সমর্থন (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ইত্যাদি), যা আপনাকে পোর্ট নম্বরের রেফারেন্স ছাড়াই শুধুমাত্র প্রোটোকল টাইপ দ্বারা নিয়মে কাজ করতে দেয় (উদাহরণস্বরূপ , একটি অ-মানক পোর্টে HTTP ট্র্যাফিক ব্লক করতে)। HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP এবং SSH প্রোটোকলের জন্য ডিকোডার;
একটি শক্তিশালী HTTP ট্র্যাফিক বিশ্লেষণ সিস্টেম যা HTTP ট্র্যাফিককে পার্স এবং স্বাভাবিক করার জন্য Mod_Security প্রকল্পের লেখক দ্বারা তৈরি একটি বিশেষ HTP লাইব্রেরি ব্যবহার করে৷ ট্রানজিট HTTP ট্রান্সফারের বিস্তারিত লগ বজায় রাখার জন্য একটি মডিউল উপলব্ধ, লগটি একটি আদর্শ বিন্যাসে সংরক্ষিত হয়
অ্যাপাচি। HTTP প্রোটোকলের মাধ্যমে স্থানান্তরিত ফাইলগুলির নিষ্কাশন এবং যাচাইকরণ সমর্থিত। সংকুচিত বিষয়বস্তু পার্স করার জন্য সমর্থন. ইউআরআই, কুকি, হেডার, ব্যবহারকারী-এজেন্ট, অনুরোধ/প্রতিক্রিয়া বডি দ্বারা সনাক্ত করার ক্ষমতা;
NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING সহ ট্র্যাফিক বাধা দেওয়ার জন্য বিভিন্ন ইন্টারফেসের জন্য সমর্থন। PCAP ফরম্যাটে ইতিমধ্যে সংরক্ষিত ফাইলগুলি বিশ্লেষণ করা সম্ভব;
উচ্চ কার্যকারিতা, প্রচলিত সরঞ্জামগুলিতে 10 গিগাবিট / সেকেন্ড পর্যন্ত স্ট্রিম প্রক্রিয়া করার ক্ষমতা।
আইপি অ্যাড্রেসের বড় সেট সহ হাই পারফরম্যান্স মাস্ক ম্যাচিং ইঞ্জিন। মুখোশ এবং নিয়মিত অভিব্যক্তি দ্বারা বিষয়বস্তু নির্বাচনের জন্য সমর্থন। নাম, প্রকার বা MD5 চেকসাম দ্বারা তাদের শনাক্তকরণ সহ ট্র্যাফিক থেকে ফাইলগুলি পৃথক করা।
নিয়মে ভেরিয়েবল ব্যবহার করার ক্ষমতা: আপনি স্ট্রিম থেকে তথ্য সংরক্ষণ করতে পারেন এবং পরে অন্যান্য নিয়মে ব্যবহার করতে পারেন;
কনফিগারেশন ফাইলগুলিতে YAML ফর্ম্যাট ব্যবহার করা, যা আপনাকে মেশিন প্রক্রিয়াকরণের সহজতার সাথে দৃশ্যমানতা বজায় রাখতে দেয়;
সম্পূর্ণ IPv6 সমর্থন;
স্বয়ংক্রিয় ডিফ্র্যাগমেন্টেশন এবং প্যাকেটগুলির পুনরায় একত্রিত করার জন্য অন্তর্নির্মিত ইঞ্জিন, যা প্যাকেটগুলি যে ক্রমেই আসে তা নির্বিশেষে স্ট্রিমগুলির সঠিক প্রক্রিয়াকরণ নিশ্চিত করতে দেয়;
টানেলিং প্রোটোকলের জন্য সমর্থন: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
প্যাকেট ডিকোডিং সমর্থন: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ইথারনেট, PPP, PPPoE, Raw, SLL, VLAN;
TLS/SSL সংযোগের মধ্যে উপস্থিত কী এবং শংসাপত্রগুলির জন্য লগিং মোড;
উন্নত বিশ্লেষণ প্রদানের জন্য লুয়া স্ক্রিপ্ট লেখার ক্ষমতা এবং ট্র্যাফিকের ধরন সনাক্ত করার জন্য প্রয়োজনীয় অতিরিক্ত বৈশিষ্ট্যগুলি প্রয়োগ করার ক্ষমতা যার জন্য আদর্শ নিয়মগুলি যথেষ্ট নয়।

উত্স: opennet.ru

Suricata 5.0 আক্রমণ সনাক্তকরণ সিস্টেম উপলব্ধ

একটি মন্তব্য জুড়ুন উত্তর বাতিল