ProHoster > Блог > internet vijesti > Suricata 5.0 sistem za detekciju napada je dostupan

Suricata 5.0 sistem za detekciju napada je dostupan

Organizacija OISF (Open Information Security Foundation) objavljeno oslobađanje sistema za detekciju i prevenciju upada u mrežu Meerkat 5.0, koji omogućava inspekciju raznih vrsta saobraćaja. U Suricata konfiguracijama, dozvoljena je upotreba baze potpisa, koji je razvio projekat Snort, kao i skupove pravila Emerging Threats и Emerging Threats Pro. Izvorni kod projekta širenje licenciran pod GPLv2.

Glavne promjene:

  • Uvedeni novi moduli za raščlanjivanje i evidentiranje protokola
    RDP, SNMP i SIP napisani u Rustu. Mogućnost prijavljivanja preko EVE podsistema, koji daje izlaz događaja u JSON formatu, dodata je modulu FTP raščlanjivanja;

  • Uz podršku za JA3 TLS metod autentikacije klijenta uvedenu u prethodnom izdanju, podrška za metodu JA3S, dozvoljavajući na osnovu specifičnosti pregovaranja o povezivanju i navedenih parametara, odredite koji se softver koristi za uspostavljanje veze (na primjer, omogućava vam da odredite upotrebu Tor i drugih tipičnih aplikacija). JA3 omogućava definisanje klijenata, a JA3S - servera. Rezultati određivanja mogu se koristiti u jeziku za postavljanje pravila i u zapisnicima;
  • Dodata eksperimentalna mogućnost uparivanja s uzorkom velikih skupova podataka, implementirana korištenjem novih operacija skup podataka i datarep. Na primjer, ova funkcija je primjenjiva na traženje maski na velikim crnim listama s milionima unosa;
  • Režim HTTP inspekcije pruža punu pokrivenost svih situacija opisanih u test paketu HTTP Evader (na primjer, pokriva metode koje se koriste za skrivanje zlonamjerne aktivnosti u prometu);
  • Alati za razvoj Rust modula prebačeni su sa opcija na potrebne standardne karakteristike. U budućnosti se planira proširenje upotrebe Rusta u bazi koda projekta i postupna zamjena modula analogima razvijenim u Rustu;
  • Mehanizam za detekciju protokola je poboljšan u smislu tačnosti i upravljanja asinhronim prometnim tokovima;
  • Dodata je podrška EVE dnevniku za novi tip zapisa, "anomalija", koji pohranjuje netipične događaje koji se detektuju kada se paketi dekodiraju. EVE je takođe proširio prikaz informacija o VLAN-ovima i interfejsima za hvatanje saobraćaja. Dodata opcija za spremanje svih HTTP zaglavlja u EVE log http unose;
  • Rukovaoci zasnovani na eBPF-u pružaju podršku za hardverske mehanizme za ubrzanje hvatanja paketa. Hardversko ubrzanje je trenutno ograničeno na Netronome mrežne adaptere, ali će se uskoro pojaviti i za drugu opremu;
  • Prepisan kod za hvatanje saobraćaja koristeći Netmap framework. Dodata mogućnost korištenja naprednih Netmap funkcija kao što je virtualni prekidač VALE;
  • Dodano podrška za novu šemu definicije ključnih riječi za Sticky Buffers. Nova šema je definirana u formatu protocol.buffer, na primjer, za introspekciju URI-ja, ključna riječ bi bila "http.uri" umjesto "http_uri";
  • Sav korišteni Python kod je testiran na kompatibilnost sa
    Python3;

  • Podrška za Tilera arhitekturu, tekstualni dnevnik dns.log i stari dnevnik files-json.log je ukinut.

Karakteristike Suricate:

  • Upotreba objedinjenog formata za prikaz rezultata validacije unified2, koji također koristi projekt Snort, omogućavajući korištenje standardnih alata za analizu kao što su barnyard2. Mogućnost integracije sa BASE, Snorby, Sguil i SQueRT proizvodima. Podrška za izlaz u PCAP formatu;
  • Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućava da radite u pravilima samo prema tipu protokola, bez upućivanja na broj porta (npr. , za blokiranje HTTP prometa na nestandardnom portu) . Dekoderi za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
  • Moćan HTTP sistem za analizu saobraćaja koji koristi specijalnu HTP biblioteku kreiranu od strane autora Mod_Security projekta za raščlanjivanje i normalizaciju HTTP saobraćaja. Dostupan je modul za održavanje detaljnog dnevnika tranzitnih HTTP transfera, dnevnik se čuva u standardnom formatu
    Apache. Podržano je izdvajanje i provjera datoteka prenesenih putem HTTP protokola. Podrška za raščlanjivanje komprimovanog sadržaja. Mogućnost identifikacije po URI-ju, kolačiću, zaglavljima, korisničkim agentom, tijelom zahtjeva/odgovora;

  • Podrška za različite interfejse za presretanje saobraćaja, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već sačuvane datoteke u PCAP formatu;
  • Visoke performanse, mogućnost obrade tokova do 10 gigabita/s na konvencionalnoj opremi.
  • Motor za usklađivanje maski visokih performansi sa velikim skupovima IP adresa. Podrška za odabir sadržaja po maski i regularnim izrazima. Odvajanje datoteka od prometa, uključujući njihovu identifikaciju po imenu, tipu ili MD5 kontrolnoj sumi.
  • Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
  • Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućava da održite vidljivost uz lakoću mašinske obrade;
  • Potpuna IPv6 podrška;
  • Ugrađeni motor za automatsku defragmentaciju i ponovno sastavljanje paketa, koji omogućava da se osigura ispravna obrada streamova, bez obzira na redoslijed kojim paketi pristižu;
  • Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podrška za dekodiranje paketa: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način evidentiranja za ključeve i certifikate koji se pojavljuju unutar TLS/SSL veza;
  • Sposobnost pisanja Lua skripti za pružanje napredne analize i implementaciju dodatnih funkcija potrebnih za identifikaciju tipova saobraćaja za koje standardna pravila nisu dovoljna.

    • izvor: opennet.ru

Dodajte komentar