ProHoster > Блог > interretaj novaĵoj > Liberigo de Suricata 6.0 entrudiĝa detektosistemo

Liberigo de Suricata 6.0 entrudiĝa detektosistemo

Post jaro da evoluo, la OISF (Open Information Security Foundation) organizo eldonita liberigo de reto entrudiĝa detekto kaj preventa sistemo Surikato 6.0, kiu disponigas ilojn por inspekti diversajn specojn de trafiko. En Suricata agordoj eblas uzi subskribaj datumbazoj, evoluigita per la Snort-projekto, same kiel aroj de reguloj Emerĝantaj Minacoj и Emerging Threats Pro. Projektfontoj disvastigi licencita laŭ GPLv2.

Ĉefaj ŝanĝoj:

  • Komenca subteno por HTTP/2.
  • Subteno por RFB kaj MQTT-protokoloj, inkluzive de la kapablo difini la protokolon kaj konservi protokolon.
  • Ebleco ensaluti por la protokolo DCERPC.
  • Signifa plibonigo en registra rendimento per la EVE-subsistemo, kiu disponigas eventoproduktaĵon en JSON-formato. La akcelo estis atingita danke al la uzo de nova JSON-akcia konstruanto skribita en la Rust-lingvo.
  • La skaleblo de la EVE-protokolo-sistemo estis pliigita kaj la kapablo konservi apartan protokoldosieron por ĉiu fadeno estis efektivigita.
  • Kapablo difini kondiĉojn por restarigi informojn al la protokolo.
  • Eblo reflekti MAC-adresojn en la EVE-protokolo kaj pliigi la detalon de la DNS-protokolo.
  • Plibonigante la rendimenton de la fluomotoro.
  • Subteno por identigi SSH-efektivigojn (HASĈO).
  • Efektivigo de la tunelmalĉifrilo GENEVE.
  • La kodo por prilaborado estis reverkita en la Rust-lingvo ASN.1, DCERPC kaj SSH. Rust ankaŭ subtenas novajn protokolojn.
  • En la reguldifinlingvo, subteno por la parametro from_end estis aldonita al la ŝlosilvorto byte_jump, kaj subteno por la parametro bitmasko estis aldonita al byte_test. Efektivigis la ŝlosilvorton pcrexform por permesi al regulaj esprimoj (pcre) esti uzataj por kapti subĉenon. Aldonita urldecode konvertiĝo. Aldonita byte_math ŝlosilvorto.
  • Provizas la kapablon uzi cbindgen por generi ligadojn en Rust kaj C lingvoj.
  • Aldonita komenca kromsubteno.

Karakterizaĵoj de Suricata:

  • Uzante unuigitan formaton por montri skanajn rezultojn Unuigita 2, ankaŭ uzata de la projekto Snort, kiu permesas la uzon de normaj analiziloj kiel ekz kortego2. Eblo de integriĝo kun BASE, Snorby, Sguil kaj SQueRT-produktoj. PCAP-eligsubteno;
  • Subteno por aŭtomata detekto de protokoloj (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ktp.), permesante al vi funkcii en reguloj nur laŭ protokolo-tipo, sen referenco al la havena numero (ekzemple, bloki HTTP). trafiko sur nenorma haveno). Havebleco de malĉifriloj por protokoloj HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP kaj SSH;
  • Potenca HTTP-trafika analizsistemo, kiu uzas specialan HTP-bibliotekon kreitan de la aŭtoro de la projekto Mod_Security por analizi kaj normaligi HTTP-trafikon. Modulo haveblas por konservi detalan protokolon de transitaj HTTP-translokigoj; la protokolo estas konservita en norma formato
    Apache. Reakiro kaj kontrolado de dosieroj transdonitaj per HTTP estas subtenata. Subteno por analizado kunpremita enhavo. Kapablo identigi per URI, Kuketo, kaplinioj, uzanto-agento, peto/responda korpo;

  • Subteno por diversaj interfacoj por trafikinterkapto, inkluzive de NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Eblas analizi jam konservitajn dosierojn en PCAP-formato;
  • Alta rendimento, kapablo prilabori fluojn ĝis 10 gigabitoj/sek en konvencia ekipaĵo.
  • Alt-efikeca maska ​​kongrua mekanismo por grandaj aroj de IP-adresoj. Subteno por elekti enhavon per masko kaj regulaj esprimoj. Izolante dosierojn de trafiko, inkluzive de ilia identigo laŭ nomo, tipo aŭ MD5-kontrolsumo.
  • Kapablo uzi variablojn en reguloj: vi povas konservi informojn de rivereto kaj poste uzi ĝin en aliaj reguloj;
  • Uzo de la YAML-formato en agordaj dosieroj, kiu ebligas al vi konservi klarecon estante facile maŝinprilabori;
  • Plena IPv6-subteno;
  • Enkonstruita motoro por aŭtomata defragmentado kaj remuntado de pakaĵoj, ebligante ĝustan prilaboradon de fluoj, sendepende de la ordo en kiu pakoj alvenas;
  • Subteno por tunelaj protokoloj: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Subteno por dekodado de pakaĵoj: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Reĝimo por registri ŝlosilojn kaj atestojn aperantajn ene de TLS/SSL-konektoj;
  • La kapablo skribi skriptojn en Lua por provizi altnivelan analizon kaj efektivigi pliajn kapablojn necesajn por identigi tipojn de trafiko por kiuj normaj reguloj ne sufiĉas.

fonto: opennet.ru

Aldoni komenton