ProHoster > Bloc > notícies d'internet > Llançament del sistema de detecció d'intrusions Suricata 6.0

Llançament del sistema de detecció d'intrusions Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) publicat llançament del sistema de detecció i prevenció d'intrusions a la xarxa Suricata 6.0, que ofereix eines per inspeccionar diferents tipus de trànsit. En configuracions de Suricata és possible utilitzar-lo bases de dades de signatures, desenvolupat pel projecte Snort, així com uns conjunts de normes Amenaces emergents и Amenaces emergents Pro. Fonts del projecte propagació amb llicència GPLv2.

Principals canvis:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HAIXX).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Característiques de Suricata:

  • Ús d'un format unificat per mostrar els resultats de l'escaneig Unificat 2, també utilitzat pel projecte Snort, que permet l'ús d'eines d'anàlisi estàndard com ara corral 2. Possibilitat d'integració amb productes BASE, Snorby, Sguil i SQueRT. Suport a la sortida de PCAP;
  • Suport per a la detecció automàtica de protocols (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), que us permet operar en regles només per tipus de protocol, sense fer referència al número de port (per exemple, bloquejar HTTP). trànsit en un port no estàndard). Disponibilitat de descodificadors per a protocols HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH;
  • Un potent sistema d'anàlisi del trànsit HTTP que utilitza una biblioteca HTP especial creada per l'autor del projecte Mod_Security per analitzar i normalitzar el trànsit HTTP. Hi ha un mòdul disponible per mantenir un registre detallat de les transferències HTTP de trànsit; el registre es desa en un format estàndard
    Apache. S'admet la recuperació i la comprovació de fitxers transmesos mitjançant HTTP. Suport per analitzar contingut comprimit. Capacitat d'identificar-se per URI, galeta, capçaleres, agent d'usuari, cos de sol·licitud/resposta;

  • Suport per a diverses interfícies per a la intercepció del trànsit, com ara NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. És possible analitzar fitxers ja desats en format PCAP;
  • Alt rendiment, capacitat per processar fluxos de fins a 10 gigabits/s en equips convencionals.
  • Mecanisme de concordança de màscares d'alt rendiment per a grans conjunts d'adreces IP. Suport per seleccionar contingut per màscara i expressions regulars. Aïllar fitxers del trànsit, inclosa la seva identificació per nom, tipus o suma de verificació MD5.
  • Capacitat d'utilitzar variables en regles: podeu desar informació d'un flux i, posteriorment, utilitzar-la en altres regles;
  • Ús del format YAML en fitxers de configuració, que permet mantenir la claredat alhora que és fàcil de processar;
  • Suport complet IPv6;
  • Motor integrat per a la desfragmentació i el muntatge automàtics de paquets, que permeten un processament correcte dels fluxos, independentment de l'ordre en què arriben els paquets;
  • Suport per a protocols de túnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suport de descodificació de paquets: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode per registrar claus i certificats que apareixen a les connexions TLS/SSL;
  • La capacitat d'escriure scripts en Lua per proporcionar una anàlisi avançada i implementar les capacitats addicionals necessàries per identificar els tipus de trànsit per als quals les regles estàndard no són suficients.

Font: opennet.ru

Afegeix comentari