ProHoster > Blog > internet nyheder > Suricata 5.0 angrebsdetektionssystem tilgængeligt

Suricata 5.0 angrebsdetektionssystem tilgængeligt

Organisation OISF (Open Information Security Foundation) опубликовала frigivelse af system til registrering og forebyggelse af netværksindtrængen Meerkat 5.0, som giver værktøjer til inspektion af forskellige typer trafik. I Suricata-konfigurationer er det muligt at bruge signaturdatabaser, udviklet af Snort-projektet, samt regelsæt Nye trusler и Emerging Threats Pro. Projektkilder spredning licenseret under GPLv2.

Vigtigste ændringer:

  • Nye moduler til parsing og logning af protokoller er blevet introduceret
    RDP, SNMP og SIP skrevet i Rust. Muligheden for at logge via EVE-undersystemet er blevet tilføjet til FTP-parsing-modulet, hvilket giver hændelsesoutput i JSON-format;

  • Ud over understøttelsen af ​​JA3 TLS-klientidentifikationsmetoden, der dukkede op i den sidste udgivelse, understøttes metoden JA3S, tillader Baseret på egenskaberne ved forbindelsesforhandling og specificerede parametre, bestemme, hvilken software der bruges til at etablere en forbindelse (det giver dig f.eks. mulighed for at bestemme brugen af ​​Tor og andre standardapplikationer). JA3 giver dig mulighed for at definere klienter, og JA3S giver dig mulighed for at definere servere. Resultaterne af bestemmelsen kan bruges i regelindstillingssproget og i logfiler;
  • Tilføjet eksperimentel evne til at matche prøver fra store datasæt, implementeret ved hjælp af nye operationer datasæt og dataarep. For eksempel er funktionen anvendelig til at søge efter masker i store sorte lister, der indeholder millioner af poster;
  • HTTP-inspektionstilstand giver fuld dækning af alle situationer beskrevet i testpakken HTTP-unddrager (dækker f.eks. teknikker, der bruges til at skjule ondsindet aktivitet i trafikken);
  • Værktøjer til udvikling af moduler i Rust-sproget er blevet overført fra muligheder til obligatoriske standardfunktioner. I fremtiden er det planen at udvide brugen af ​​Rust i projektkodebasen og gradvist erstatte moduler med analoger udviklet i Rust;
  • Protokoldefinitionsmotoren er blevet forbedret for at forbedre nøjagtigheden og håndtere asynkrone trafikstrømme;
  • Understøttelse af en ny "anomali" indtastningstype er blevet tilføjet til EVE-loggen, som gemmer atypiske hændelser, der er opdaget ved afkodning af pakker. EVE har også udvidet visningen af ​​information om VLAN'er og trafikregistreringsgrænseflader. Tilføjet mulighed for at gemme alle HTTP-headere i EVE http-logposter;
  • eBPF-baserede handlere understøtter hardwaremekanismer til at accelerere pakkefangst. Hardwareacceleration er i øjeblikket begrænset til Netronome-netværksadaptere, men vil snart være tilgængelig for andet udstyr;
  • Koden til at fange trafik ved hjælp af Netmap frameworket er blevet omskrevet. Tilføjet muligheden for at bruge avancerede Netmap-funktioner såsom en virtuel switch VALE;
  • Tilføjet understøttelse af en ny nøgleordsdefinitionsordning for Sticky Buffers. Det nye skema er defineret i "protocol.buffer"-formatet, f.eks. til inspektion af en URI, vil nøgleordet have formen "http.uri" i stedet for "http_uri";
  • Al anvendt Python-kode er testet for kompatibilitet med
    Python3;

  • Understøttelse af Tilera-arkitekturen, tekstloggen dns.log og de gamle logfiler-json.log er afbrudt.

Funktioner af Suricata:

  • Brug af et samlet format til at vise scanningsresultater Forenet 2, også brugt af Snort-projektet, som tillader brug af standardanalyseværktøjer som f.eks ladegård 2. Mulighed for integration med BASE, Snorby, Sguil og SQueRT produkter. PCAP output support;
  • Understøttelse af automatisk registrering af protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB osv.), så du kun kan operere i regler efter protokoltype uden reference til portnummeret (for eksempel blokere HTTP trafik på en ikke-standard port). Tilgængelighed af dekodere til HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH protokoller;
  • Et kraftfuldt HTTP-trafikanalysesystem, der bruger et særligt HTP-bibliotek skabt af forfatteren af ​​Mod_Security-projektet til at parse og normalisere HTTP-trafik. Et modul er tilgængeligt til at vedligeholde en detaljeret log over HTTP-transitoverførsler; loggen gemmes i et standardformat
    Apache. Hentning og kontrol af filer, der er transmitteret via HTTP, understøttes. Understøttelse af parsing af komprimeret indhold. Evne til at identificere ved URI, Cookie, overskrifter, brugeragent, anmodnings-/svarlegeme;

  • Understøttelse af forskellige grænseflader til trafikaflytning, herunder NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det er muligt at analysere allerede gemte filer i PCAP-format;
  • Høj ydeevne, evne til at behandle flows op til 10 gigabit/sek på konventionelt udstyr.
  • Højtydende masketilpasningsmekanisme til store sæt IP-adresser. Understøttelse af valg af indhold efter maske og regulære udtryk. Isolering af filer fra trafik, herunder deres identifikation ved navn, type eller MD5-kontrolsum.
  • Mulighed for at bruge variabler i regler: du kan gemme information fra en strøm og senere bruge den i andre regler;
  • Brug af YAML-formatet i konfigurationsfiler, som giver dig mulighed for at bevare klarheden og samtidig være nem at bearbejde;
  • Fuld IPv6-understøttelse;
  • Indbygget motor til automatisk defragmentering og gensamling af pakker, hvilket muliggør korrekt behandling af strømme, uanset i hvilken rækkefølge pakker ankommer;
  • Understøttelse af tunneling-protokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Understøttelse af pakkeafkodning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Tilstand til at logge nøgler og certifikater, der vises i TLS/SSL-forbindelser;
  • Evnen til at skrive scripts i Lua for at give avanceret analyse og implementere yderligere funktioner, der er nødvendige for at identificere typer trafik, for hvilke standardregler ikke er tilstrækkelige.

    • Kilde: opennet.ru

Tilføj en kommentar