ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Pagpagawas sa Suricata 6.0 intrusion detection system

Pagpagawas sa Suricata 6.0 intrusion detection system

Human sa usa ka tuig nga kalamboan, ang OISF (Open Information Security Foundation) nga organisasyon gipatik pagpagawas sa network intrusion detection ug prevention system Meerkat 6.0, nga naghatag og mga himan alang sa pag-inspeksyon sa nagkalain-laing matang sa trapiko. Sa mga pagsumpo sa Suricata posible nga gamiton mga database sa pirma, naugmad sa proyekto sa Snort, ingon man mga hugpong sa mga lagda Mitumaw nga mga Panghulga ΠΈ Nag-uswag nga mga Panghulga Pro. Mga tinubdan sa proyekto pagkaylap lisensyado ubos sa GPLv2.

Panguna nga mga pagbag-o:

  • Inisyal nga suporta para sa HTTP/2.
  • Suporta alang sa mga protocol sa RFB ug MQTT, lakip ang abilidad sa paghubit sa protocol ug pagpadayon sa usa ka log.
  • Posibilidad sa pag-log alang sa DCERPC protocol.
  • Mahinungdanon nga pag-uswag sa logging performance pinaagi sa EVE subsystem, nga naghatag og output sa panghitabo sa JSON format. Ang pagpadali nakab-ot salamat sa paggamit sa usa ka bag-ong JSON stock builder nga gisulat sa Rust nga pinulongan.
  • Ang scalability sa EVE log system nadugangan ug ang abilidad sa pagpadayon sa usa ka bulag nga log file alang sa matag hilo gipatuman.
  • Abilidad sa paghubit sa mga kondisyon alang sa pag-reset sa impormasyon sa log.
  • Posibilidad sa pagpakita sa mga MAC address sa EVE log ug pagdugang sa detalye sa DNS log.
  • Pagpauswag sa performance sa flow engine.
  • Suporta alang sa pag-ila sa mga pagpatuman sa SSH (HASSH).
  • Pagpatuman sa GENEVE tunnel decoder.
  • Ang kodigo alang sa pagproseso kay gisulat na usab sa Rust nga pinulongan ASN.1, DCERPC ug SSH. Gisuportahan usab sa Rust ang mga bag-ong protocol.
  • Sa pinulongang kahulugan sa lagda, ang suporta alang sa from_end nga parametro gidugang sa byte_jump nga keyword, ug ang suporta alang sa bitmask nga parametro gidugang sa byte_test. Gipatuman ang pcrexform nga keyword aron tugotan ang mga regular nga ekspresyon (pcre) nga gamiton aron makuha ang usa ka substring. Gidugang ang pagkakabig sa urldecode. Gidugang byte_math nga keyword.
  • Naghatag ug abilidad sa paggamit sa cbindgen aron makamugna og mga binding sa Rust ug C nga mga pinulongan.
  • Gidugang inisyal nga suporta sa plugin.

Mga Kinaiya sa Suricata:

  • Paggamit sa usa ka hiniusa nga format aron ipakita ang mga resulta sa pag-scan Nahiusa2, gigamit usab sa proyekto sa Snort, nga nagtugot sa paggamit sa standard nga mga himan sa pagtuki sama sa barnyar2. Posibilidad sa pag-integrate sa mga produkto sa BASE, Snorby, Sguil ug SQueRT. suporta sa output sa PCAP;
  • Suporta alang sa awtomatikong pag-ila sa mga protocol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ug uban pa), nga nagtugot kanimo sa pag-operate sa mga lagda pinaagi lamang sa tipo sa protocol, nga walay paghisgot sa numero sa port (pananglitan, block HTTP trapiko sa usa ka dili standard nga pantalan). Pagkabaton sa mga decoder alang sa HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ug SSH nga mga protocol;
  • Usa ka kusgan nga sistema sa pag-analisa sa trapiko sa HTTP nga naggamit usa ka espesyal nga librarya sa HTP nga gihimo sa tagsulat sa proyekto sa Mod_Security aron ma-parse ug ma-normalize ang trapiko sa HTTP. Adunay usa ka module nga magamit alang sa pagpadayon sa usa ka detalyado nga log sa transit HTTP nga pagbalhin; ang log gitipig sa usa ka standard nga format
    Apache. Gisuportahan ang pagkuha ug pagsusi sa mga file nga gipasa pinaagi sa HTTP. Suporta alang sa pag-parse sa compressed content. Abilidad sa pag-ila pinaagi sa URI, Cookie, header, user-agent, request/response lawas;

  • Suporta alang sa lain-laing mga interface alang sa traffic interception, lakip ang NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Posible nga analisahon ang na-save na nga mga file sa format nga PCAP;
  • Taas nga pasundayag, abilidad sa pagproseso sa mga agos hangtod sa 10 gigabits / sec sa naandan nga kagamitan.
  • High-performance mask matching mechanism para sa dagkong set sa mga IP address. Suporta alang sa pagpili sa sulud pinaagi sa maskara ug regular nga mga ekspresyon. Paglain sa mga file gikan sa trapiko, lakip ang ilang pag-ila sa ngalan, tipo o MD5 checksum.
  • Abilidad sa paggamit sa mga baryable sa mga lagda: mahimo nimong i-save ang impormasyon gikan sa usa ka sapa ug sa ulahi gamiton kini sa ubang mga lagda;
  • Paggamit sa format nga YAML sa mga file sa pag-configure, nga nagtugot kanimo sa pagpadayon sa katin-aw samtang dali nga proseso sa makina;
  • Bug-os nga suporta sa IPv6;
  • Ang built-in nga makina alang sa awtomatik nga defragmentation ug reassembly sa mga pakete, nga nagtugot alang sa husto nga pagproseso sa mga sapa, bisan unsa pa ang pagkasunod-sunod diin ang mga pakete moabut;
  • Suporta alang sa mga protocol sa tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suporta sa pag-decode sa pakete: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode para sa mga yawe sa pag-log ug mga sertipiko nga makita sulod sa mga koneksyon sa TLS/SSL;
  • Ang katakus sa pagsulat sa mga script sa Lua aron mahatagan ang abante nga pagtuki ug ipatuman ang mga dugang nga kapabilidad nga gikinahanglan aron mailhan ang mga tipo sa trapiko diin ang mga sumbanan nga lagda dili igo.

Source: opennet.ru

Idugang sa usa ka comment