ProHoster > Блог > interretaj novaĵoj > Disponebla sistemo de detekto de atakoj Suricata 5.0

Disponebla sistemo de detekto de atakoj Suricata 5.0

Organizo OISF (Open Information Security Foundation) eldonita liberigo de reto entrudiĝa detekto kaj preventa sistemo Surikato 5.0, kiu disponigas ilojn por inspekti diversajn specojn de trafiko. En Suricata agordoj eblas uzi subskribaj datumbazoj, evoluigita per la Snort-projekto, same kiel aroj de reguloj Emerĝantaj Minacoj и Emerging Threats Pro. Projektfontoj disvastigi licencita laŭ GPLv2.

Ĉefaj ŝanĝoj:

  • Novaj moduloj por analizado kaj protokoloj estis enkondukitaj
    RDP, SNMP kaj SIP skribitaj en Rust. La kapablo ensaluti per la EVE-subsistemo estis aldonita al la FTP-analiza modulo, disponigante eventoproduktaĵon en JSON-formato;

  • Krom la subteno por la JA3 TLS-klienta identiga metodo, kiu aperis en la lasta eldono, subteno por la metodo JA3S, permesante Surbaze de la karakterizaĵoj de intertraktado de konekto kaj specifitaj parametroj, determini kian programaron estas uzata por establi konekton (ekzemple, ĝi permesas vin determini la uzon de Tor kaj aliaj normaj aplikoj). JA3 permesas vin difini klientojn, kaj JA3S permesas vin difini servilojn. La rezultoj de la determino povas esti uzataj en la regularo kaj en protokoloj;
  • Aldonita eksperimenta kapablo kongrui specimenojn de grandaj datumaj aroj, efektivigita per novaj operacioj datumserio kaj datarep. Ekzemple, la funkcio estas aplikebla al serĉado de maskoj en grandaj nigraj listoj enhavantaj milionojn da enskriboj;
  • HTTP-inspekta reĝimo provizas plenan priraportadon de ĉiuj situacioj priskribitaj en la testaro HTTP Evader (ekz., kovras teknikojn uzatajn por kaŝi malican agadon en trafiko);
  • Iloj por disvolvi modulojn en la Rust-lingvo estis translokigitaj de opcioj al devigaj normaj kapabloj. En la estonteco, estas planite vastigi la uzon de Rust en la projekta kodbazo kaj iom post iom anstataŭigi modulojn per analogoj evoluigitaj en Rust;
  • La protokola difinmotoro estis plibonigita por plibonigi precizecon kaj pritrakti nesinkronajn trafikfluojn;
  • Subteno por nova "anomalia" enirtipo estis aldonita al la EVE-protokolo, kiu stokas maltipajn eventojn detektitajn dum malkodado de pakaĵetoj. EVE ankaŭ vastigis la montradon de informoj pri VLANoj kaj trafikkaptaj interfacoj. Aldonita opcio por konservi ĉiujn HTTP-kapojn en EVE http protokolaj enskriboj;
  • eBPF-bazitaj prizorgantoj disponigas subtenon por hardvarmekanismoj por akceli pakaĵetkapton. Akcelado de aparataro estas nuntempe limigita al Netronome-retaj adaptiloj, sed baldaŭ estos disponebla por aliaj ekipaĵoj;
  • La kodo por kapti trafikon per la Netmap-kadro estis reverkita. Aldonis la kapablon uzi altnivelajn Netmap-funkciojn kiel virtuala ŝaltilo BONE;
  • Aldonita subteno por nova ŝlosilvorto-difinskemo por Sticky Buffers. La nova skemo estas difinita en la formato "protocol.buffer", ekzemple, por inspekti URI, la ŝlosilvorto prenos la formon "http.uri" anstataŭ "http_uri";
  • Ĉiu Python-kodo uzata estas provita pri kongruo kun
    Python3;

  • Subteno por la Tilera arkitekturo, la teksta protokolo dns.log kaj la malnova protokolo-dosieroj-json.log estis ĉesigita.

Karakterizaĵoj de Suricata:

  • Uzante unuigitan formaton por montri skanajn rezultojn Unuigita 2, ankaŭ uzata de la projekto Snort, kiu permesas la uzon de normaj analiziloj kiel ekz kortego2. Eblo de integriĝo kun BASE, Snorby, Sguil kaj SQueRT-produktoj. PCAP-eligsubteno;
  • Subteno por aŭtomata detekto de protokoloj (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ktp.), permesante al vi funkcii en reguloj nur laŭ protokolo-tipo, sen referenco al la havena numero (ekzemple, bloki HTTP). trafiko sur nenorma haveno). Havebleco de malĉifriloj por protokoloj HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP kaj SSH;
  • Potenca HTTP-trafika analizsistemo, kiu uzas specialan HTP-bibliotekon kreitan de la aŭtoro de la projekto Mod_Security por analizi kaj normaligi HTTP-trafikon. Modulo haveblas por konservi detalan protokolon de transitaj HTTP-translokigoj; la protokolo estas konservita en norma formato
    Apache. Reakiro kaj kontrolado de dosieroj transdonitaj per HTTP estas subtenata. Subteno por analizado kunpremita enhavo. Kapablo identigi per URI, Kuketo, kaplinioj, uzanto-agento, peto/responda korpo;

  • Subteno por diversaj interfacoj por trafikinterkapto, inkluzive de NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Eblas analizi jam konservitajn dosierojn en PCAP-formato;
  • Alta rendimento, kapablo prilabori fluojn ĝis 10 gigabitoj/sek en konvencia ekipaĵo.
  • Alt-efikeca maska ​​kongrua mekanismo por grandaj aroj de IP-adresoj. Subteno por elekti enhavon per masko kaj regulaj esprimoj. Izolante dosierojn de trafiko, inkluzive de ilia identigo laŭ nomo, tipo aŭ MD5-kontrolsumo.
  • Kapablo uzi variablojn en reguloj: vi povas konservi informojn de rivereto kaj poste uzi ĝin en aliaj reguloj;
  • Uzo de la YAML-formato en agordaj dosieroj, kiu ebligas al vi konservi klarecon estante facile maŝinprilabori;
  • Plena IPv6-subteno;
  • Enkonstruita motoro por aŭtomata defragmentado kaj remuntado de pakaĵoj, ebligante ĝustan prilaboradon de fluoj, sendepende de la ordo en kiu pakoj alvenas;
  • Subteno por tunelaj protokoloj: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Subteno por dekodado de pakaĵoj: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Reĝimo por registri ŝlosilojn kaj atestojn aperantajn ene de TLS/SSL-konektoj;
  • La kapablo skribi skriptojn en Lua por provizi altnivelan analizon kaj efektivigi pliajn kapablojn necesajn por identigi tipojn de trafiko por kiuj normaj reguloj ne sufiĉas.

    • fonto: opennet.ru

Aldoni komenton