Zeek 8.0.0 liikluse analüüsi ja võrgu sissetungimise tuvastamise süsteem, mida varem levitati nime Bro all, on välja antud. Zeek on liikluse analüüsi platvorm, mis keskendub peamiselt turvalisusega seotud sündmuste jälgimisele, kuid ei piirdu selle rakendusega. Süsteemi kood on kirjutatud C++ keeles ja levitatakse BSD litsentsi alusel.
Platvorm pakub mooduleid erinevate rakendustaseme võrguprotokollide analüüsimiseks ja parsimiseks, mis võtavad arvesse ühenduse olekut ja võimaldavad luua võrgutegevuse detailse logi (arhiivi). Pakutakse domeenispetsiifilist keelt jälgimisstsenaariumide kirjutamiseks ja anomaaliate tuvastamiseks, võttes arvesse konkreetsete infrastruktuuride eripära. Süsteem on optimeeritud kasutamiseks suure ribalaiusega võrkudes. Pakutakse API-t integreerimiseks kolmandate osapoolte infosüsteemidega ja reaalajas andmevahetuseks.
Zeeki uues numbris:
- Lisatud võimalus konfigureerida võrguvoogude tuple identifikaatoreid pluginate kaudu. Lisaks keerukates võrkudes voogude jagamisel kokkupõrgete vältimiseks IP-aadressid, pordinumbrid ja protokoll saavad nüüd arvesse võtta täiendavat konteksti, näiteks VLAN-silte või kapseldatud liikluse identifikaatoreid VXLAN-i ja Geneve'i jaoks.
- Uus ZeroMQ-l põhinev klastri taustsüsteem, mis määratleb klastri sõlmede vahelise interaktsiooni meetodi ja andmete serialiseerimisvormingu, on viidud valmisolekusse kasutamiseks tootmissüsteemides. Vaikimisi kasutatakse endiselt Brokeri taustsüsteemi, kuid tulevikus on plaanis üleminek vaikimisi ZeroMQ taustsüsteemile, mis võimaldab sõlmede vahel leviedastussõnumite levitamisel ilma puhverserverita hakkama saada. Klastri toimimise telemeetria kogumist on lihtsustatud, mis võimaldab jälgida sõlmede koormust olenemata kasutatavast taustsüsteemist.
- Lisatud Redis DBMS protokolli parser ja pakutud pealtkuulatud toimingute logimist.
- SMTP-analüsaator toetab meilisõnumite (RFC 822) eraldamist liiklusest ja nende edastamist failianalüsaatorile, mida saab kasutada pealtkuulatud meilide salvestamiseks kettale .eml-vormingus failidena.
- FTP analüsaatorile lisati tugi AUTH TLS-laiendusele.
- DNS-analüsaator tunneb nüüd ära NAPTR-kirjed.
- PPPoE analüsaatoril on nüüd võimalus kuvada seansi ID-sid.
- Eraldi logide analyzer.log ja dpd.log asemel kasutatakse ühist logi analyzer.log.
- Protokolli ja failiparseri generaator on uuendatud versioonile Spicy 1.14, mis toob kaasa uusi optimeeringuid ja eemaldab kasutamata funktsiooniparameetrid.
- Nüüd on võimalik logivormingut muuta logschema paketi abil (näiteks saab traditsiooniliste tekstilogide asemel kasutada JSON-i või CSV-d).
- Projekti loomiseks on nüüd vaja kompilaatorit, mis toetab C++20 standardit. Minimaalselt toetatud versioonid on GCC 10, Clang 8 ja Visual Studio 2022.
Lisaks võime märkida võrgu turvaskanneri Nmap 7.98 ilmumist, mis on loodud võrgu auditeerimiseks ja aktiivsete võrguteenuste tuvastamiseks. Projekti kood on esitatud NPSL-i (Nmap Public Source License) alusel, mis põhineb GPLv2 litsentsil, millele on lisatud soovitused (mitte nõuded) OEM-litsentsiprogrammi kasutamiseks ja kommertslitsentsi ostmiseks, kui tootja ei soovi oma toote koodi avada vastavalt copyleft-litsentsi nõuetele või kavatseb integreerida Nmap-i toodetesse, mis ei ühildu GPL-iga.
Nmap 7.98 sisaldab peamiselt veaparandusi. Näiteks jookseb kokku nmap-i kasutamisel mõnede VPN-liidesed. Funktsionaalsete muudatuste hulgas väärib märkimist NSE-sidumiste lisamine libssh2 funktsioonide kasutamiseks Nmap automatiseerimisskriptides. DNS-i lahendajat on optimeeritud. Tls.lua teeki on lisatud tugi TLSv1.3-s kasutatavatele šifritele, sealhulgas postkvantšifri komplektidele. Lõplikes järkudes kasutatavaid OpenSSL 3.0.17, Lua 5.4.8 ja Npcap 1.83 on uuendatud.
Allikas: opennet.ru
