ProHoster > blog > newyddion rhyngrwyd > Rhyddhau system canfod ymyrraeth Suricata 6.0

Rhyddhau system canfod ymyrraeth Suricata 6.0

Ar Γ΄l blwyddyn o ddatblygiad, mae'r sefydliad OISF (Y Sefydliad Diogelwch Gwybodaeth Agored). cyhoeddi rhyddhau system canfod ac atal ymyrraeth rhwydwaith Meerkat 6.0, sy'n darparu offer ar gyfer archwilio gwahanol fathau o draffig. Mewn ffurfweddiadau Suricata mae'n bosibl eu defnyddio cronfeydd data llofnod, a ddatblygwyd gan brosiect Snort, yn ogystal Γ’ setiau o reolau Bygythiadau sy'n Dod i'r Amlwg ΠΈ Bygythiadau sy'n Dod i'r Amlwg Pro. Ffynonellau prosiect lledaenu trwyddedig o dan GPLv2.

Newidiadau mawr:

  • Cefnogaeth gychwynnol ar gyfer HTTP/2.
  • Cefnogaeth i brotocolau RFB a MQTT, gan gynnwys y gallu i ddiffinio'r protocol a chynnal log.
  • Posibilrwydd o logio ar gyfer protocol DCERPC.
  • Gwelliant sylweddol mewn perfformiad logio trwy'r is-system EVE, sy'n darparu allbwn digwyddiadau ar ffurf JSON. Cyflawnwyd y cyflymiad diolch i ddefnyddio adeiladwr stoc JSON newydd a ysgrifennwyd yn yr iaith Rust.
  • Mae graddadwyedd system log EVE wedi'i gynyddu ac mae'r gallu i gynnal ffeil log ar wahΓ’n ar gyfer pob edefyn wedi'i weithredu.
  • Y gallu i ddiffinio amodau ar gyfer ailosod gwybodaeth i'r log.
  • Posibilrwydd o adlewyrchu cyfeiriadau MAC yn y log EVE a chynyddu manylion y log DNS.
  • Gwella perfformiad yr injan llif.
  • Cefnogaeth ar gyfer nodi gweithrediadau SSH (HASSH).
  • Gweithredu datgodiwr twnnel GENEVE.
  • Mae'r cod ar gyfer prosesu wedi'i ailysgrifennu yn yr iaith Rust ASN.1, DCERPC a SSH. Mae Rust hefyd yn cefnogi protocolau newydd.
  • Yn yr iaith diffiniad rheol, mae cefnogaeth ar gyfer y paramedr from_end wedi'i ychwanegu at yr allweddair byte_jump, ac mae cefnogaeth i'r paramedr bitmask wedi'i ychwanegu at byte_test. Wedi gweithredu'r allweddair pcrexform i ganiatΓ‘u defnyddio mynegiadau rheolaidd (pcre) i ddal is-linyn. Ychwanegwyd trosi urldecode. Ychwanegwyd allweddair byte_math.
  • Yn darparu'r gallu i ddefnyddio cbindgen i gynhyrchu rhwymiadau mewn ieithoedd Rust ac C.
  • Ychwanegwyd cefnogaeth ategyn cychwynnol.

Nodweddion Suricata:

  • Defnyddio fformat unedig i arddangos canlyniadau sgan Unedig2, a ddefnyddir hefyd gan y prosiect Snort, sy'n caniatΓ‘u defnyddio offer dadansoddi safonol megis buarth 2. Posibilrwydd o integreiddio gyda chynhyrchion BASE, Snorby, Sguil a SQueRT. Cefnogaeth allbwn PCAP;
  • Cefnogaeth ar gyfer canfod protocolau yn awtomatig (IP, TCP, CDU, ICMP, HTTP, TLS, FTP, SMB, ac ati), sy'n eich galluogi i weithredu mewn rheolau yn Γ΄l math o brotocol yn unig, heb gyfeirio at rif y porthladd (er enghraifft, bloc HTTP traffig ar borthladd ansafonol) . Argaeledd datgodyddion ar gyfer protocolau HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
  • System dadansoddi traffig pwerus HTTP sy'n defnyddio llyfrgell HTP arbennig a grΓ«wyd gan awdur y prosiect Mod_Security i ddosrannu a normaleiddio traffig HTTP. Mae modiwl ar gael ar gyfer cynnal log manwl o drosglwyddiadau tramwy HTTP; mae'r log yn cael ei gadw mewn fformat safonol
    Apache. Cefnogir adfer a gwirio ffeiliau a drosglwyddir trwy HTTP. Cefnogaeth ar gyfer dosrannu cynnwys cywasgedig. Y gallu i adnabod trwy URI, Cwci, penawdau, asiant defnyddiwr, corff cais/ymateb;

  • Cefnogaeth i ryngwynebau amrywiol ar gyfer rhyng-gipio traffig, gan gynnwys NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Mae'n bosibl dadansoddi ffeiliau sydd eisoes wedi'u cadw mewn fformat PCAP;
  • Perfformiad uchel, y gallu i brosesu llifau hyd at 10 gigabits yr eiliad ar offer confensiynol.
  • Mecanwaith paru masgiau perfformiad uchel ar gyfer setiau mawr o gyfeiriadau IP. Cefnogaeth ar gyfer dewis cynnwys yn Γ΄l mwgwd ac ymadroddion rheolaidd. Ynysu ffeiliau rhag traffig, gan gynnwys eu hadnabod yn Γ΄l enw, math neu wiriad MD5.
  • Y gallu i ddefnyddio newidynnau mewn rheolau: gallwch arbed gwybodaeth o ffrwd a'i defnyddio'n ddiweddarach mewn rheolau eraill;
  • Defnyddio fformat YAML mewn ffeiliau ffurfweddu, sy'n eich galluogi i gadw eglurder tra'n hawdd i'w prosesu Γ’ pheiriant;
  • Cefnogaeth IPv6 lawn;
  • Peiriant adeiledig ar gyfer dad-ddarnio'n awtomatig ac ail-gydosod pecynnau, gan ganiatΓ‘u ar gyfer prosesu ffrydiau'n gywir, waeth ym mha drefn y mae pecynnau'n cyrraedd;
  • Cefnogaeth ar gyfer protocolau twnelu: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Cefnogaeth datgodio pecyn: IPv4, IPv6, TCP, CDU, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modd ar gyfer logio allweddi a thystysgrifau sy'n ymddangos o fewn cysylltiadau TLS/SSL;
  • Y gallu i ysgrifennu sgriptiau yn Lua i ddarparu dadansoddiad uwch a gweithredu galluoedd ychwanegol sydd eu hangen i nodi mathau o draffig nad yw rheolau safonol yn ddigonol ar eu cyfer.

Ffynhonnell: opennet.ru

Ychwanegu sylw