ProHoster > Blog > nutizie internet > Liberazione di u sistema di rilevazione di intrusioni Suricata 6.0

Liberazione di u sistema di rilevazione di intrusioni Suricata 6.0

Dopu un annu di sviluppu, l'urganizazione OISF (Open Information Security Foundation). publicatu liberazione di u sistema di rilevazione è prevenzione di intrusioni in rete Meerkat 6.0, chì furnisce strumenti per inspeccionà diversi tipi di trafficu. In cunfigurazioni Suricata hè pussibule aduprà basa di dati di firma, sviluppatu da u prughjettu Snort, è ancu inseme di regule Minacce emergenti и Minacce emergenti Pro. Fonti di prughjettu sparghje licenziatu sottu GPLv2.

I cambiamenti principali:

  • Supportu iniziale per HTTP/2.
  • Supportu per i protokolli RFB è MQTT, cumpresa a capacità di definisce u protocolu è mantene un logu.
  • Possibilità di logging per u protocolu DCERPC.
  • Migliura significativa in u rendiment di logging attraversu u sottosistema EVE, chì furnisce l'output di l'avvenimentu in formatu JSON. L'accelerazione hè stata ottenuta grazia à l'usu di un novu costruttore di stock JSON scrittu in a lingua Rust.
  • A scalabilità di u sistema di log EVE hè stata aumentata è a capacità di mantene un schedariu di logu separatu per ogni filu hè stata implementata.
  • Capacità di definisce e cundizioni per resetting infurmazione à u log.
  • Capacità di riflette l'indirizzi MAC in u log EVE è aumentà i dettagli di u log DNS.
  • Migliurà u rendiment di u mutore di flussu.
  • Supportu per identificà implementazioni SSH (HASSH).
  • Implementazione di u decoder tunnel GENEVE.
  • U codice per a trasfurmazioni hè stata riscritta in a lingua Rust ASN.1, DCERPC è SSH. Rust sustene ancu novi protokolli.
  • In a lingua di definizione di regula, u supportu per u paràmetru from_end hè statu aghjuntu à a keyword byte_jump, è u supportu per u paràmetru di bitmask hè statu aghjuntu à byte_test. Implementatu a keyword pcrexform per permette l'espressioni regulari (pcre) per esse aduprate per catturà una substringa. Aggiunta cunversione urldecode. Aggiunta keyword byte_math.
  • Fornisce l'abilità di utilizà cbindgen per generà associazioni in Rust è lingue C.
  • Aggiuntu supportu di plugin iniziale.

Caratteristiche di Suricata:

  • Utilizà un formatu unificatu per vede i risultati di scansione Unificatu 2, ancu utilizatu da u prughjettu Snort, chì permette l'usu di strumenti di analisi standard cum'è cortile 2. Possibilità di integrazione cù i prudutti BASE, Snorby, Sguil è SQueRT. supportu di output PCAP;
  • Supportu per a rilevazione automatica di protokolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), chì vi permette di operà in regule solu per tipu di protocolu, senza riferimentu à u numeru di portu (per esempiu, bluccà HTTP). trafficu in un portu micca standard). Disponibilità di decodificatori per protokolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP è SSH;
  • Un putente sistema di analisi di u trafficu HTTP chì usa una biblioteca speciale HTP creata da l'autore di u prughjettu Mod_Security per analizà è nurmalizà u trafficu HTTP. Un modulu hè dispunibule per mantene un logu detallatu di trasferimenti HTTP di transitu; u logu hè salvatu in un formatu standard
    Apache. A ricuperazione è a verificazione di i fugliali trasmessi via HTTP hè supportata. Supportu per analizà u cuntenutu cumpressu. Capacità di identificà per URI, Cookie, headers, user-agent, corpu di dumanda / risposta;

  • Supportu per diverse interfacce per l'intercettazione di u trafficu, cumprese NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Hè pussibule analizà i fugliali digià salvati in u formatu PCAP;
  • Alte prestazioni, capacità di processà flussi finu à 10 gigabits / sec nantu à l'equipaggiu cunvinziunali.
  • Meccanismo di corrispondenza di maschere d'altu rendiment per grandi gruppi di indirizzi IP. Supportu per a selezzione di cuntenutu per maschera è espressioni regulare. Isulà i fugliali da u trafficu, cumprese a so identificazione per nome, tipu o checksum MD5.
  • Capacità di utilizà variàbili in e regule: pudete salvà l'infurmazioni da un flussu è dopu aduprà in altre regule;
  • L'usu di u formatu YAML in i schedarii di cunfigurazione, chì vi permette di mantene a chiarità mentre hè faciule di processà a macchina;
  • Supportu IPv6 cumpletu;
  • Mutore integratu per a defragmentazione automatica è a riunione di i pacchetti, chì permette un trattamentu currettu di i flussi, indipendentemente da l'ordine in quale i pacchetti arrivanu;
  • Supportu per i protokolli di tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Supportu di decodificazione di pacchetti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modu per chjavi di logu è certificati chì apparenu in e cunnessione TLS / SSL;
  • A capacità di scrive script in Lua per furnisce l'analisi avanzata è implementà e capacità supplementari necessarie per identificà tipi di trafficu per quale e regule standard ùn sò micca abbastanza.

Source: opennet.ru

Add a comment