ProHoster > Blogi > internetiuudised > Saadaval on Suricata 5.0 rünnakutuvastussüsteem

Saadaval on Suricata 5.0 rünnakutuvastussüsteem

Organisatsioon OISF (Open Information Security Foundation) опубликовала võrgu sissetungi tuvastamise ja ennetamise süsteemi vabastamine Surikaat 5.0, mis pakub vahendit erinevat tüüpi liikluse kontrollimiseks. Suricata konfiguratsioonides on see lubatud kasutada allkirja alused, mille on välja töötanud Snort projekt, aga ka reeglid Tekkivad ohud и Emerging Threats Pro. Projekti lähtekood levima litsentsitud GPLv2 alusel.

Peamised muudatused:

  • Tutvustas uusi protokollide parsimise ja logimise mooduleid
    RDP, SNMP ja SIP on kirjutatud roostes. FTP sõelumismoodulisse on lisatud võimalus logida läbi EVE alamsüsteemi, mis pakub sündmuste väljundit JSON-vormingus;

  • Lisaks viimases väljaandes tutvustatud JA3 TLS-i kliendi autentimismeetodi toele meetodi tugi JA3S, lubades lähtudes ühenduse läbirääkimiste spetsiifikast ja määratud parameetritest, määrake kindlaks, millist tarkvara ühenduse loomiseks kasutatakse (näiteks võimaldab teil määrata Tori ja muude tüüpiliste rakenduste kasutamist). JA3 võimaldab defineerida kliente ja JA3S - servereid. Määramise tulemusi saab kasutada reeglite seadmise keeles ja logides;
  • Lisatud eksperimentaalne võime sobitada suurte andmekogumite valimiga, mis on rakendatud uute toimingute abil andmestik ja andmerep. Näiteks on see funktsioon rakendatav maskide otsimiseks suurtest mustadest nimekirjadest, mis sisaldavad miljoneid kirjeid;
  • HTTP kontrollirežiim hõlmab kõiki testkomplektis kirjeldatud olukordi HTTP Evader (näiteks hõlmab meetodeid, mida kasutatakse liikluses pahatahtliku tegevuse varjamiseks);
  • Roostemooduli arendustööriistad on muudetud valikute hulgast nõutavatele standardfunktsioonidele. Tulevikus on plaanis laiendada Rusti kasutusala projekti koodibaasis ning asendada moodulid järk-järgult Rustis välja töötatud analoogidega;
  • Protokolli tuvastamise mootorit on täiustatud täpsuse ja asünkroonsete liiklusvoogude käsitlemise osas;
  • EVE logile on lisatud tugi uuele kirjetüübile "anomaalia", mis salvestab ebatüüpilised sündmused, mis tuvastatakse pakettide dekodeerimisel. EVE laiendas ka VLAN-ide ja liikluse hõivamise liideste teabe kuvamist. Lisatud võimalus salvestada kõik HTTP-päised EVE logi http-kirjetesse;
  • eBPF-põhised töötlejad pakuvad pakettide hõivamise kiirendamise riistvaramehhanismide tuge. Riistvaraline kiirendus on praegu piiratud Netronome'i võrguadapteritega, kuid peagi ilmub see ka muude seadmete jaoks;
  • Ümber kirjutatud kood liikluse hõivamiseks Netmap raamistiku abil. Lisati võimalus kasutada täiustatud Netmapi funktsioone, näiteks virtuaalset lülitit VALE;
  • Lisatud kleepuvate puhvrite uue märksõna määratlusskeemi tugi. Uus skeem on defineeritud protocol.buffer formaadis, näiteks URI uurimiseks oleks märksõna "http_uri" asemel "http.uri";
  • Kogu kasutatava Pythoni koodi ühilduvust testitakse
    Python3;

  • Tilera arhitektuuri, tekstilogi dns.log ja vana faili-json.log logi tugi on lõpetatud.

Suricata omadused:

  • Valideerimistulemuste kuvamiseks ühtse vormingu kasutamine ühtne2, mida kasutab ka projekt Snort, võimaldades kasutada standardseid analüüsitööriistu, nagu aidaaed2. Võimalus integreerida BASE, Snorby, Sguil ja SQueRT toodetega. PCAP-vormingus väljundi tugi;
  • Protokollide (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne) automaatse tuvastamise tugi, mis võimaldab reeglites töötada ainult protokolli tüübi järgi, viitamata pordi numbrile (näiteks , et blokeerida mittestandardse pordi HTTP-liiklus) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ja SSH protokollide dekoodrid;
  • Võimas HTTP liikluse analüüsisüsteem, mis kasutab HTTP liikluse sõelumiseks ja normaliseerimiseks spetsiaalset HTP teeki, mille on loonud Mod_Security projekti autor. Transiidi HTTP ülekannete üksikasjaliku logi pidamiseks on saadaval moodul, logi salvestatakse standardvormingus
    Apache. Toetatakse HTTP-protokolli kaudu edastatud failide ekstraheerimist ja kontrollimist. Pakitud sisu sõelumise tugi. Võimalus tuvastada URI, küpsise, päiste, kasutajaagendi, päringu/vastuse keha järgi;

  • Erinevate liideste tugi liikluse pealtkuulamiseks, sealhulgas NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Võimalik on analüüsida juba salvestatud faile PCAP formaadis;
  • Suur jõudlus, võimalus töödelda tavaseadmetega vooge kuni 10 gigabitti sekundis.
  • Suure jõudlusega maskide sobitamise mootor suurte IP-aadresside komplektidega. Sisu valimise tugi maski ja regulaaravaldiste abil. Failide eraldamine liiklusest, sealhulgas nende tuvastamine nime, tüübi või MD5 kontrollsumma järgi.
  • Võimalus kasutada reeglites muutujaid: saate salvestada teavet voost ja kasutada seda hiljem teistes reeglites;
  • YAML-vormingu kasutamine konfiguratsioonifailides, mis võimaldab säilitada nähtavust masina töötlemise lihtsusega;
  • täielik IPv6 tugi;
  • Sisseehitatud mootor pakettide automaatseks defragmentimiseks ja uuesti kokkupanemiseks, mis võimaldab tagada voogude korrektse töötlemise, olenemata pakettide saabumise järjekorrast;
  • Tunneldamisprotokollide tugi: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakettdekodeerimise tugi: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL-ühendustes kuvatavate võtmete ja sertifikaatide logimisrežiim;
  • Võimalus kirjutada Lua skripte, et pakkuda täpsemat analüüsi ja rakendada lisafunktsioone, mis on vajalikud liiklustüüpide tuvastamiseks, mille jaoks standardreeglitest ei piisa.

    • Allikas: opennet.ru

Lisa kommentaar