ProHoster > Blog > internet nyheder > Frigivelse af Suricata 6.0 indtrængen detektionssystem

Frigivelse af Suricata 6.0 indtrængen detektionssystem

Efter et års udvikling, organisationen OISF (Open Information Security Foundation). опубликовала frigivelse af system til registrering og forebyggelse af netværksindtrængen Meerkat 6.0, som giver værktøjer til inspektion af forskellige typer trafik. I Suricata-konfigurationer er det muligt at bruge signaturdatabaser, udviklet af Snort-projektet, samt regelsæt Nye trusler и Emerging Threats Pro. Projektkilder spredning licenseret under GPLv2.

Vigtigste ændringer:

  • Indledende understøttelse af HTTP/2.
  • Understøttelse af RFB- og MQTT-protokoller, herunder evnen til at definere protokollen og vedligeholde en log.
  • Mulighed for logning til DCERPC-protokollen.
  • Betydelig forbedring af logningsydelsen gennem EVE-undersystemet, som giver hændelsesoutput i JSON-format. Accelerationen blev opnået takket være brugen af ​​en ny JSON stock builder skrevet på Rust-sproget.
  • Skalerbarheden af ​​EVE-logsystemet er blevet øget, og muligheden for at vedligeholde en separat logfil for hver tråd er blevet implementeret.
  • Mulighed for at definere betingelser for nulstilling af information til loggen.
  • Mulighed for at afspejle MAC-adresser i EVE-loggen og øge detaljeringen af ​​DNS-loggen.
  • Forbedring af flowmotorens ydeevne.
  • Support til at identificere SSH-implementeringer (HASSH).
  • Implementering af GENEVE tunnel dekoder.
  • Koden til behandling er blevet omskrevet til Rust-sproget ASN.1, DCERPC og SSH. Rust understøtter også nye protokoller.
  • I regeldefinitionssproget er understøttelse af parameteren from_end blevet tilføjet til byte_jump nøgleordet, og understøttelse af bitmaskeparameteren er blevet tilføjet til byte_test. Implementerede nøgleordet pcrexform for at tillade, at regulære udtryk (pcre) bruges til at fange en understreng. Tilføjet urldecode-konvertering. Tilføjet byte_math søgeord.
  • Giver mulighed for at bruge cbindgen til at generere bindinger i Rust- og C-sprog.
  • Tilføjet indledende plugin-understøttelse.

Funktioner af Suricata:

  • Brug af et samlet format til at vise scanningsresultater Forenet 2, også brugt af Snort-projektet, som tillader brug af standardanalyseværktøjer som f.eks ladegård 2. Mulighed for integration med BASE, Snorby, Sguil og SQueRT produkter. PCAP output support;
  • Understøttelse af automatisk registrering af protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB osv.), så du kun kan operere i regler efter protokoltype uden reference til portnummeret (for eksempel blokere HTTP trafik på en ikke-standard port). Tilgængelighed af dekodere til HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH protokoller;
  • Et kraftfuldt HTTP-trafikanalysesystem, der bruger et særligt HTP-bibliotek skabt af forfatteren af ​​Mod_Security-projektet til at parse og normalisere HTTP-trafik. Et modul er tilgængeligt til at vedligeholde en detaljeret log over HTTP-transitoverførsler; loggen gemmes i et standardformat
    Apache. Hentning og kontrol af filer, der er transmitteret via HTTP, understøttes. Understøttelse af parsing af komprimeret indhold. Evne til at identificere ved URI, Cookie, overskrifter, brugeragent, anmodnings-/svarlegeme;

  • Understøttelse af forskellige grænseflader til trafikaflytning, herunder NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det er muligt at analysere allerede gemte filer i PCAP-format;
  • Høj ydeevne, evne til at behandle flows op til 10 gigabit/sek på konventionelt udstyr.
  • Højtydende masketilpasningsmekanisme til store sæt IP-adresser. Understøttelse af valg af indhold efter maske og regulære udtryk. Isolering af filer fra trafik, herunder deres identifikation ved navn, type eller MD5-kontrolsum.
  • Mulighed for at bruge variabler i regler: du kan gemme information fra en strøm og senere bruge den i andre regler;
  • Brug af YAML-formatet i konfigurationsfiler, som giver dig mulighed for at bevare klarheden og samtidig være nem at bearbejde;
  • Fuld IPv6-understøttelse;
  • Indbygget motor til automatisk defragmentering og gensamling af pakker, hvilket muliggør korrekt behandling af strømme, uanset i hvilken rækkefølge pakker ankommer;
  • Understøttelse af tunneling-protokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Understøttelse af pakkeafkodning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Tilstand til at logge nøgler og certifikater, der vises i TLS/SSL-forbindelser;
  • Evnen til at skrive scripts i Lua for at give avanceret analyse og implementere yderligere funktioner, der er nødvendige for at identificere typer trafik, for hvilke standardregler ikke er tilstrækkelige.

Kilde: opennet.ru

Tilføj en kommentar