ProHoster > Blog > ειδήσεις στο διαδίκτυο > Κυκλοφορία του συστήματος ανίχνευσης εισβολής Suricata 6.0

Κυκλοφορία του συστήματος ανίχνευσης εισβολής Suricata 6.0

Μετά από ένα χρόνο ανάπτυξης, ο οργανισμός OISF (Open Information Security Foundation). опубликовала απελευθέρωση του συστήματος ανίχνευσης και πρόληψης εισβολών στο δίκτυο Meerkat 6.0, το οποίο παρέχει ένα μέσο επιθεώρησης διαφόρων τύπων κυκλοφορίας. Σε διαμορφώσεις Suricata, επιτρέπεται η χρήση βάσεις υπογραφών, που αναπτύχθηκε από το έργο Snort, καθώς και σύνολα κανόνων Αναδυόμενες Απειλές и Emerging Threats Pro. Πηγαίος κώδικας έργου εξάπλωση άδεια σύμφωνα με το GPLv2.

Βασικές αλλαγές:

  • Αρχική υποστήριξη για HTTP/2.
  • Υποστήριξη για πρωτόκολλα RFB και MQTT, συμπεριλαμβανομένης της δυνατότητας καθορισμού του πρωτοκόλλου και διατήρησης αρχείου καταγραφής.
  • Δυνατότητα καταγραφής για το πρωτόκολλο DCERPC.
  • Σημαντική βελτίωση στην απόδοση καταγραφής μέσω του υποσυστήματος EVE, το οποίο παρέχει έξοδο συμβάντων σε μορφή JSON. Η επιτάχυνση επιτεύχθηκε χάρη στη χρήση ενός νέου προγράμματος δημιουργίας αποθεμάτων JSON γραμμένου στη γλώσσα Rust.
  • Η επεκτασιμότητα του συστήματος καταγραφής EVE έχει αυξηθεί και έχει εφαρμοστεί η δυνατότητα διατήρησης ξεχωριστού αρχείου καταγραφής για κάθε νήμα.
  • Δυνατότητα καθορισμού συνθηκών για την επαναφορά πληροφοριών στο αρχείο καταγραφής.
  • Δυνατότητα απεικόνισης διευθύνσεων MAC στο αρχείο καταγραφής EVE και αύξησης των λεπτομερειών του αρχείου καταγραφής DNS.
  • Βελτίωση της απόδοσης του κινητήρα ροής.
  • Υποστήριξη για τον εντοπισμό υλοποιήσεων SSH (HASSH).
  • Υλοποίηση του αποκωδικοποιητή σήραγγας GENEVE.
  • Ο κώδικας για την επεξεργασία έχει ξαναγραφεί στη γλώσσα Rust ASN.1, DCERPC και SSH. Το Rust υποστηρίζει επίσης νέα πρωτόκολλα.
  • Στη γλώσσα ορισμού κανόνα, η υποστήριξη για την παράμετρο from_end έχει προστεθεί στη λέξη-κλειδί byte_jump και η υποστήριξη για την παράμετρο bitmask έχει προστεθεί στο byte_test. Εφάρμοσε τη λέξη-κλειδί pcrexform για να επιτρέψει τη χρήση κανονικών εκφράσεων (pcre) για τη λήψη μιας υποσυμβολοσειράς. Προστέθηκε μετατροπή urldcode. Προστέθηκε λέξη-κλειδί byte_math.
  • Παρέχει τη δυνατότητα χρήσης cbindgen για τη δημιουργία δεσμεύσεων σε γλώσσες Rust και C.
  • Προστέθηκε αρχική υποστήριξη προσθήκης.

Χαρακτηριστικά του Suricata:

  • Χρήση ενοποιημένης μορφής για εμφάνιση αποτελεσμάτων επικύρωσης ενοποιημένος2, που χρησιμοποιείται επίσης από το έργο Snort, επιτρέποντας τη χρήση τυπικών εργαλείων ανάλυσης όπως π.χ αχυρώνας2. Δυνατότητα ενσωμάτωσης με προϊόντα BASE, Snorby, Sguil και SQueRT. Υποστήριξη για έξοδο σε μορφή PCAP.
  • Υποστήριξη για αυτόματη ανίχνευση πρωτοκόλλων (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, κ.λπ.), που σας επιτρέπει να λειτουργείτε στους κανόνες μόνο με βάση τον τύπο πρωτοκόλλου, χωρίς αναφορά στον αριθμό θύρας (για παράδειγμα , για αποκλεισμό της κυκλοφορίας HTTP σε μια μη τυπική θύρα) . Αποκωδικοποιητές για πρωτόκολλα HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP και SSH.
  • Ένα ισχυρό σύστημα ανάλυσης κυκλοφορίας HTTP που χρησιμοποιεί μια ειδική βιβλιοθήκη HTP που δημιουργήθηκε από τον συγγραφέα του έργου Mod_Security για την ανάλυση και την κανονικοποίηση της κυκλοφορίας HTTP. Διατίθεται μια ενότητα για τη διατήρηση ενός λεπτομερούς αρχείου καταγραφής μεταφορών HTTP, το αρχείο καταγραφής αποθηκεύεται σε τυπική μορφή
    Απάχης. Υποστηρίζεται η εξαγωγή και η επαλήθευση αρχείων που μεταφέρονται μέσω πρωτοκόλλου HTTP. Υποστήριξη για ανάλυση συμπιεσμένου περιεχομένου. Δυνατότητα αναγνώρισης από URI, Cookie, κεφαλίδες, χρήστη-πράκτορα, σώμα αιτήματος/απόκρισης.

  • Υποστήριξη για διάφορες διεπαφές για την παρακολούθηση της κυκλοφορίας, συμπεριλαμβανομένων των NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Είναι δυνατή η ανάλυση των ήδη αποθηκευμένων αρχείων σε μορφή PCAP.
  • Υψηλή απόδοση, δυνατότητα επεξεργασίας ροών έως και 10 gigabit/sec σε συμβατικό εξοπλισμό.
  • Μηχανή αντιστοίχισης μάσκας υψηλής απόδοσης με μεγάλα σετ διευθύνσεων IP. Υποστήριξη για επιλογή περιεχομένου με μάσκα και κανονικές εκφράσεις. Διαχωρισμός αρχείων από την κυκλοφορία, συμπεριλαμβανομένης της αναγνώρισής τους με όνομα, τύπο ή άθροισμα ελέγχου MD5.
  • Δυνατότητα χρήσης μεταβλητών σε κανόνες: μπορείτε να αποθηκεύσετε πληροφορίες από τη ροή και αργότερα να τις χρησιμοποιήσετε σε άλλους κανόνες.
  • Χρησιμοποιώντας τη μορφή YAML σε αρχεία διαμόρφωσης, η οποία σας επιτρέπει να διατηρείτε την ορατότητα με ευκολία στην επεξεργασία του μηχανήματος.
  • Πλήρης υποστήριξη IPv6.
  • Ενσωματωμένος κινητήρας για αυτόματη ανασυγκρότηση και επανασυναρμολόγηση πακέτων, ο οποίος επιτρέπει τη διασφάλιση της σωστής επεξεργασίας των ροών, ανεξάρτητα από τη σειρά με την οποία φτάνουν τα πακέτα.
  • Υποστήριξη για πρωτόκολλα σήραγγας: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE.
  • Υποστήριξη αποκωδικοποίησης πακέτων: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN.
  • Λειτουργία καταγραφής για κλειδιά και πιστοποιητικά που εμφανίζονται σε συνδέσεις TLS/SSL.
  • Η δυνατότητα σύνταξης σεναρίων Lua για την παροχή προηγμένης ανάλυσης και την εφαρμογή πρόσθετων λειτουργιών που απαιτούνται για τον εντοπισμό τύπων κυκλοφορίας για τους οποίους οι τυπικοί κανόνες δεν επαρκούν.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο