ProHoster > Blogi > netin uutisia > Suricata 5.0 hyökkäyksentunnistusjärjestelmä saatavilla

Suricata 5.0 hyökkäyksentunnistusjärjestelmä saatavilla

Organisaatio OISF (Open Information Security Foundation) julkaistu verkon tunkeutumisen havaitsemis- ja estojärjestelmän vapauttaminen Meerkat 5.0, joka tarjoaa työkaluja erilaisten liikennemuotojen tarkastamiseen. Suricata-kokoonpanoissa on mahdollista käyttää allekirjoitustietokannat, jonka on kehittänyt Snort-projekti, sekä sääntöjä Esiin tulevat uhkat и Emerging Threats Pro. Hankkeen lähteet levitän lisensoitu GPLv2:lla.

Suurimmat muutokset:

  • Uusia moduuleja jäsennys- ja kirjausprotokollia varten on otettu käyttöön
    RDP, SNMP ja SIP kirjoitettu ruosteella. Mahdollisuus kirjautua EVE-alijärjestelmän kautta on lisätty FTP-jäsennysmoduuliin, joka tarjoaa tapahtumatulosteen JSON-muodossa;

  • Viime julkaisussa ilmestyneen JA3 TLS -asiakastunnistusmenetelmän tuen lisäksi menetelmän tuki JA3S, sallimalla Määritä yhteysneuvottelun ominaisuuksien ja määritettyjen parametrien perusteella, mitä ohjelmistoa yhteyden muodostamiseen käytetään (sen avulla voit esimerkiksi määrittää Torin ja muiden vakiosovellusten käytön). JA3:ssa voit määrittää asiakkaita ja JA3S:ssä palvelimia. Määrityksen tuloksia voidaan käyttää sääntöasetuskielellä ja lokeissa;
  • Lisätty kokeellinen kyky sovittaa näytteitä suurista tietojoukoista, toteutettu uusilla operaatioilla tietojoukko ja datarep. Ominaisuus soveltuu esimerkiksi maskien etsimiseen suurilta mustilta listoilta, jotka sisältävät miljoonia merkintöjä;
  • HTTP-tarkastustila kattaa kaikki testipaketissa kuvatut tilanteet HTTP Evader (esim. kattaa tekniikat, joita käytetään haitallisen toiminnan piilottamiseen liikenteessä);
  • Ruost-kielisten moduulien kehittämistyökalut on siirretty lisävarusteista pakollisiin vakioominaisuuksiin. Tulevaisuudessa on tarkoitus laajentaa Rustin käyttöä projektikoodikannassa ja korvata moduulit asteittain Rustissa kehitetyillä analogeilla;
  • Protokollan määrittelymoottoria on parannettu tarkkuuden parantamiseksi ja asynkronisten liikennevirtojen käsittelemiseksi;
  • Tuki uudelle "poikkeama"-merkintätyypille on lisätty EVE-lokiin, joka tallentaa paketteja dekoodattaessa havaitut epätyypilliset tapahtumat. EVE on myös laajentanut VLAN-verkkojen ja liikenteen kaappausliitäntöjen tietojen näyttöä. Lisätty mahdollisuus tallentaa kaikki HTTP-otsikot EVE http -lokimerkintöihin;
  • eBPF-pohjaiset käsittelijät tukevat laitteistomekanismeja pakettien sieppauksen nopeuttamiseksi. Laitteistokiihdytys on tällä hetkellä rajoitettu Netronome-verkkosovittimiin, mutta se on pian saatavilla muille laitteille;
  • Koodi liikenteen sieppaamiseksi Netmap-kehyksen avulla on kirjoitettu uudelleen. Lisätty mahdollisuus käyttää kehittyneitä Netmap-ominaisuuksia, kuten virtuaalikytkintä VALE;
  • lisätty tuki uudelle avainsanojen määrittelyjärjestelmälle Sticky Puskureille. Uusi malli on määritelty "protocol.buffer"-muodossa, esimerkiksi URI:n tarkastuksessa avainsana on muotoa "http.uri" "http_uri" sijaan;
  • Kaiken käytetyn Python-koodin yhteensopivuus on testattu
    Python3;

  • Tilera-arkkitehtuurin, tekstilokin dns.log ja vanhan lokitiedostot-json.log tuki on lopetettu.

Suricatan ominaisuudet:

  • Skannaustulosten näyttämiseen käytetään yhtenäistä muotoa Unified2, jota myös Snort-projekti käyttää, mikä mahdollistaa tavallisten analyysityökalujen, kuten esim piha 2. Mahdollisuus integroida BASE-, Snorby-, Sguil- ja SQueRT-tuotteiden kanssa. PCAP-ulostulotuki;
  • Tuki protokollien (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne.) automaattiselle tunnistamiselle, jolloin voit toimia säännöissä vain protokollatyypin mukaan, ilman viittausta portin numeroon (esim. estä HTTP liikennettä ei-standardissa portissa). Dekooderien saatavuus HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- ja SSH-protokollia varten;
  • Tehokas HTTP-liikenteen analysointijärjestelmä, joka käyttää Mod_Security-projektin kirjoittajan luomaa erityistä HTP-kirjastoa HTTP-liikenteen jäsentämiseen ja normalisoimiseen. Käytettävissä on moduuli, jolla ylläpidetään yksityiskohtaista lokia HTTP-siirroista; loki tallennetaan vakiomuodossa
    Apache. HTTP:n kautta lähetettyjen tiedostojen haku ja tarkistaminen on tuettu. Tuki pakatun sisällön jäsentämiseen. Kyky tunnistaa URI:n, evästeen, otsikoiden, käyttäjäagentin, pyynnön/vastaustekstin perusteella;

  • Tuki erilaisille rajapinnoille liikenteen sieppaamiseen, mukaan lukien NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. On mahdollista analysoida jo tallennettuja tiedostoja PCAP-muodossa;
  • Korkea suorituskyky, kyky käsitellä virtauksia jopa 10 gigabittiä sekunnissa perinteisillä laitteilla.
  • Tehokas maskin täsmäytysmekanismi suurille IP-osoitteille. Tuki sisällön valitsemiseen maskin ja säännöllisten lausekkeiden avulla. Tiedostojen eristäminen liikenteestä, mukaan lukien niiden tunnistaminen nimen, tyypin tai MD5-tarkistussumman perusteella.
  • Mahdollisuus käyttää muuttujia säännöissä: voit tallentaa tietoja virrasta ja käyttää niitä myöhemmin muissa säännöissä;
  • YAML-muodon käyttö määritystiedostoissa, mikä mahdollistaa selkeyden säilyttämisen samalla kun se on helppo työstää;
  • Täysi IPv6-tuki;
  • Sisäänrakennettu moottori pakettien automaattiseen eheyttämiseen ja uudelleen kokoamiseen, mikä mahdollistaa virtojen oikean käsittelyn pakettien saapumisjärjestyksestä riippumatta;
  • Tuki tunnelointiprotokollalle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakettien dekoodauksen tuki: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Tila TLS/SSL-yhteyksissä esiintyvien avainten ja varmenteiden kirjaamiseen;
  • Kyky kirjoittaa skriptejä Luassa edistyneen analyysin tarjoamiseksi ja lisäominaisuuksien toteuttamiseksi, joita tarvitaan tunnistamaan liikennetyypit, joille vakiosäännöt eivät riitä.

    • Lähde: opennet.ru

Lisää kommentti