ProHoster > Blog > Interneteko albisteak > Suricata 6.0 intrusioak detektatzeko sistemaren kaleratzea

Suricata 6.0 intrusioak detektatzeko sistemaren kaleratzea

ПослС Π³ΠΎΠ΄Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ организация OISF (Open Information Security Foundation) argitaratuko sareko intrusioak detektatzeko eta prebenitzeko sistema askatzea Meerkat 6.0, hainbat trafiko mota ikuskatzeko baliabidea eskaintzen duena. Suricata konfigurazioetan, zilegi da erabiltzea sinadura oinarriak, Snort proiektuak garatua, baita arau multzoak ere Sortzen ari diren mehatxuak ΠΈ Emerging Threats Pro. Proiektuaren iturburu kodea barreiatu GPLv2 lizentziapean.

Aldaketa nagusiak:

  • ΠΠ°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTP/2.
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² RFB ΠΈ MQTT, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΈ вСдСния Π»ΠΎΠ³Π°.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния Π»ΠΎΠ³Π° для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° DCERPC.
  • Π—Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ вСдСния Π»ΠΎΠ³Π° Ρ‡Π΅Ρ€Π΅Π· подсистСму EVE, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ Π²Ρ‹Π²ΠΎΠ΄ событий Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON. УскорСниС достигнуто благодаря Π·Π°Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΡŽ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΡΡ‚Ρ€ΠΎΠΈΡ‚Π΅Π»ΡŒ сток JSON, написанного Π½Π° языкС Rust.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π° ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ систСмы Π»ΠΎΠ³ΠΎΠ² EVE ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния ΠΎΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»Π° Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния условий для сброса свСдСний Π² Π»ΠΎΠ³.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ отраТСния MAC-адрСсов Π² Π»ΠΎΠ³Π΅ EVE ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ Π΄Π΅Ρ‚Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π»ΠΎΠ³Π° DNS.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π΄Π²ΠΈΠΆΠΊΠ° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² (flow engine).
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ SSH (HATXA).
  • РСализация Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ GENEVE.
  • На языкС Rust пСрСписан ΠΊΠΎΠ΄ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ASN.1, DCERPC ΠΈ SSH. На Rust Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½ΠΎΠ²Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ².
  • Π’ языкС опрСдСлСния ΠΏΡ€Π°Π²ΠΈΠ» Π² ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΌ словС byte_jump Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° from_end, Π° Π² byte_test β€” ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° bitmask. Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово pcrexform, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ рСгулярныС выраТСния (pcre) для Π·Π°Ρ…Π²Π°Ρ‚Π° подстроки. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΏΡ€Π΅ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Π½ΠΈΠ΅ urldecode. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово byte_math.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½ΠΈΡ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования cbindgen для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ привязок Π½Π° языках Rust ΠΈ C.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π½Π°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ².

Suricataren ezaugarriak:

  • Balidazio-emaitzak bistaratzeko formatu bateratua erabiltzea bateratua2, Snort proiektuak ere erabiltzen duena, esate baterako analisi tresna estandarrak erabiltzeko aukera emanez ukuilua2. BASE, Snorby, Sguil eta SQueRT produktuekin integratzeko gaitasuna. Irteerarako euskarria PCAP formatuan;
  • Protokoloak automatikoki hautemateko euskarria (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etab.), arauetan soilik protokolo motaren arabera jardutea ahalbidetzen duena, ataka zenbakiari erreferentziarik egin gabe (adibidez. , estandar ez den ataka batean HTTP trafikoa blokeatzeko). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP eta SSH protokoloetarako deskodetzaileak;
  • HTTP trafikoa aztertzeko sistema indartsua, Mod_Security proiektuaren egileak sortutako HTP liburutegi berezi bat erabiltzen duena HTTP trafikoa analizatzeko eta normalizatzeko. Modulu bat dago eskuragarri HTTP garraio-transferentziaren erregistro zehatza mantentzeko, erregistroa formatu estandarrean gordetzen da
    Apache. HTTP protokoloaren bidez transferitutako fitxategiak ateratzea eta egiaztatzea onartzen da. Konprimitutako edukia analizatzeko laguntza. URI, cookie, goiburuen, erabiltzaile-agentearen, eskaera/erantzun gorputzaren arabera identifikatzeko gaitasuna;

  • Trafikoa atzemateko hainbat interfazeren laguntza, besteak beste, NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dagoeneko gordetako fitxategiak PCAP formatuan azter daitezke;
  • Errendimendu handia, ohiko ekipoetan 10 gigabit/seko korronteak prozesatzeko gaitasuna.
  • Errendimendu handiko maskara bat etortzeko motorra IP helbide multzo handiekin. Maskara eta adierazpen erregular bidez edukia aukeratzeko laguntza. Fitxategiak trafikotik bereiztea, izenaren, motaren edo MD5 checksumaren bidez identifikatzea barne.
  • Aldagaiak arauetan erabiltzeko gaitasuna: korrontearen informazioa gorde dezakezu eta gero beste arau batzuetan erabil dezakezu;
  • YAML formatua erabiltzea konfigurazio fitxategietan, eta horrek argitasuna mantentzea ahalbidetzen du makina prozesatzeko erraztasunarekin;
  • IPv6 euskarria osoa;
  • Paketeen desfragmentazio eta birmuntaketa automatikorako motor integratua, korronteen prozesamendu zuzena bermatzeko aukera ematen duena, paketeak iristen diren ordena edozein dela ere;
  • Tunel-protokoloetarako euskarria: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakete deskodetzeko laguntza: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL konexioetan agertzen diren gako eta ziurtagirien erregistro-modua;
  • Lua script-ak idazteko gaitasuna, analisi aurreratuak emateko eta arau estandarrak nahikoa ez diren trafiko motak identifikatzeko behar diren funtzio osagarriak ezartzeko.

Iturria: opennet.ru

Gehitu iruzkin berria