ProHoster > Blog > noticias de internet > Lanzamiento del sistema de detección de intrusos Suricata 6.0

Lanzamiento del sistema de detección de intrusos Suricata 6.0

Después de un año de desarrollo, la organización OISF (Open Information Security Foundation) опубликовала lanzamiento del sistema de detección y prevención de intrusiones en la red Suricata 6.0, que proporciona herramientas para inspeccionar varios tipos de tráfico. En las configuraciones de Suricata es posible utilizar bases de datos de firmas, desarrollado por el proyecto Snort, así como conjuntos de reglas Amenazas emergentes и Amenazas emergentes Pro. Fuentes del proyecto propagar licenciado bajo GPLv2.

Cambios importantes:

  • Soporte inicial para HTTP/2.
  • Soporte para protocolos RFB y MQTT, incluida la capacidad de definir el protocolo y mantener un registro.
  • Posibilidad de iniciar sesión para el protocolo DCERPC.
  • Mejora significativa en el rendimiento del registro a través del subsistema EVE, que proporciona resultados de eventos en formato JSON. La aceleración se logró gracias al uso de un nuevo generador de stock JSON escrito en lenguaje Rust.
  • Se ha aumentado la escalabilidad del sistema de registro EVE y se ha implementado la capacidad de mantener un archivo de registro separado para cada subproceso.
  • Capacidad para definir condiciones para restablecer información en el registro.
  • Posibilidad de reflejar direcciones MAC en el log EVE y aumentar el detalle del log DNS.
  • Mejora del rendimiento del motor de flujo.
  • Soporte para identificar implementaciones SSH (hachís).
  • Implementación del decodificador de túnel GENEVE.
  • El código de procesamiento ha sido reescrito en lenguaje Rust. ASN.1, DCERPC y SSH. Rust también admite nuevos protocolos.
  • En el lenguaje de definición de reglas, se agregó compatibilidad con el parámetro from_end a la palabra clave byte_jump y se agregó compatibilidad con el parámetro bitmask a byte_test. Se implementó la palabra clave pcrexform para permitir el uso de expresiones regulares (pcre) para capturar una subcadena. Se agregó conversión de código de URL. Se agregó la palabra clave byte_math.
  • Proporciona la posibilidad de utilizar cbindgen para generar enlaces en lenguajes Rust y C.
  • Se agregó compatibilidad con complementos iniciales.

Características de Suricata:

  • Usar un formato unificado para mostrar los resultados del escaneo Unificado2, también utilizado por el proyecto Snort, que permite el uso de herramientas de análisis estándar como corral2. Posibilidad de integración con productos BASE, Snorby, Sguil y SQueRT. soporte de salida PCAP;
  • Soporte para detección automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), lo que le permite operar en reglas solo por tipo de protocolo, sin referencia al número de puerto (por ejemplo, bloquear HTTP tráfico en un puerto no estándar). Disponibilidad de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP y SSH;
  • Un potente sistema de análisis de tráfico HTTP que utiliza una biblioteca HTP especial creada por el autor del proyecto Mod_Security para analizar y normalizar el tráfico HTTP. Hay un módulo disponible para mantener un registro detallado de las transferencias HTTP en tránsito; el registro se guarda en un formato estándar
    Apache. Se admite la recuperación y verificación de archivos transmitidos a través de HTTP. Soporte para analizar contenido comprimido. Capacidad de identificar por URI, cookie, encabezados, agente de usuario, cuerpo de solicitud/respuesta;

  • Soporte para varias interfaces para interceptación de tráfico, incluidas NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Es posible analizar archivos ya guardados en formato PCAP;
  • Alto rendimiento, capacidad de procesar flujos de hasta 10 gigabits/s en equipos convencionales.
  • Mecanismo de coincidencia de máscaras de alto rendimiento para grandes conjuntos de direcciones IP. Soporte para selección de contenido por máscara y expresiones regulares. Aislar archivos del tráfico, incluida su identificación por nombre, tipo o suma de comprobación MD5.
  • Capacidad de usar variables en reglas: puede guardar información de una secuencia y luego usarla en otras reglas;
  • Uso del formato YAML en archivos de configuración, que le permite mantener la claridad y al mismo tiempo ser fácil de procesar por máquina;
  • Soporte completo de IPv6;
  • Motor incorporado para desfragmentación y reensamblaje automático de paquetes, lo que permite el procesamiento correcto de flujos, independientemente del orden en que llegan los paquetes;
  • Soporte para protocolos de túnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Soporte de decodificación de paquetes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modo para registrar claves y certificados que aparecen dentro de las conexiones TLS/SSL;
  • La capacidad de escribir scripts en Lua para proporcionar análisis avanzados e implementar capacidades adicionales necesarias para identificar tipos de tráfico para los cuales las reglas estándar no son suficientes.

Fuente: opennet.ru

Añadir un comentario