ProHoster > Blogi > netin uutisia > Suricata 6.0 tunkeutumisen havaitsemisjärjestelmän julkaisu

Suricata 6.0 tunkeutumisen havaitsemisjärjestelmän julkaisu

Vuoden kehitystyön jälkeen OISF (Open Information Security Foundation) -organisaatio julkaistu verkon tunkeutumisen havaitsemis- ja estojärjestelmän vapauttaminen Meerkat 6.0, joka tarjoaa työkaluja erilaisten liikennemuotojen tarkastamiseen. Suricata-kokoonpanoissa on mahdollista käyttää allekirjoitustietokannat, jonka on kehittänyt Snort-projekti, sekä sääntöjä Esiin tulevat uhkat и Emerging Threats Pro. Hankkeen lähteet levitän lisensoitu GPLv2:lla.

Suurimmat muutokset:

  • HTTP/2:n alustava tuki.
  • RFB- ja MQTT-protokollien tuki, mukaan lukien kyky määrittää protokolla ja ylläpitää lokia.
  • Mahdollisuus kirjautua DCERPC-protokollalle.
  • Merkittävä parannus kirjaussuorituskykyyn EVE-alijärjestelmän kautta, joka tarjoaa tapahtumatulosteen JSON-muodossa. Kiihtyvyys saavutettiin uuden Rust-kielellä kirjoitetun JSON-varastonmuodostajan käytön ansiosta.
  • EVE-lokijärjestelmän skaalautuvuutta on lisätty ja kyky ylläpitää erillistä lokitiedostoa jokaiselle säikeelle on otettu käyttöön.
  • Kyky määritellä ehtoja tietojen palauttamiselle lokiin.
  • Mahdollisuus heijastaa MAC-osoitteita EVE-lokissa ja lisätä DNS-lokin yksityiskohtia.
  • Virtausmoottorin suorituskyvyn parantaminen.
  • Tuki SSH-toteutusten tunnistamiseen (HASSH).
  • GENEVE-tunnelidekooderin käyttöönotto.
  • Käsittelyn koodi on kirjoitettu uudelleen rust-kielellä ASN.1, DCERPC ja SSH. Rust tukee myös uusia protokollia.
  • Säännön määrityskielessä parametrin from_end tuki on lisätty byte_jump-avainsanaan ja bittimask-parametrin tuki on lisätty parametriin byte_test. Otettiin käyttöön pcrexform-avainsana, jotta säännöllisiä lausekkeita (pcre) voidaan käyttää alimerkkijonon kaappaamiseen. Lisätty urldecode-muunnos. Lisätty byte_math avainsana.
  • Tarjoaa mahdollisuuden käyttää cbindgeniä sidosten luomiseen Rust- ja C-kielillä.
  • Lisätty alustava laajennustuki.

Suricatan ominaisuudet:

  • Skannaustulosten näyttämiseen käytetään yhtenäistä muotoa Unified2, jota myös Snort-projekti käyttää, mikä mahdollistaa tavallisten analyysityökalujen, kuten esim piha 2. Mahdollisuus integroida BASE-, Snorby-, Sguil- ja SQueRT-tuotteiden kanssa. PCAP-ulostulotuki;
  • Tuki protokollien (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne.) automaattiselle tunnistamiselle, jolloin voit toimia säännöissä vain protokollatyypin mukaan, ilman viittausta portin numeroon (esim. estä HTTP liikennettä ei-standardissa portissa). Dekooderien saatavuus HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- ja SSH-protokollia varten;
  • Tehokas HTTP-liikenteen analysointijärjestelmä, joka käyttää Mod_Security-projektin kirjoittajan luomaa erityistä HTP-kirjastoa HTTP-liikenteen jäsentämiseen ja normalisoimiseen. Käytettävissä on moduuli, jolla ylläpidetään yksityiskohtaista lokia HTTP-siirroista; loki tallennetaan vakiomuodossa
    Apache. HTTP:n kautta lähetettyjen tiedostojen haku ja tarkistaminen on tuettu. Tuki pakatun sisällön jäsentämiseen. Kyky tunnistaa URI:n, evästeen, otsikoiden, käyttäjäagentin, pyynnön/vastaustekstin perusteella;

  • Tuki erilaisille rajapinnoille liikenteen sieppaamiseen, mukaan lukien NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. On mahdollista analysoida jo tallennettuja tiedostoja PCAP-muodossa;
  • Korkea suorituskyky, kyky käsitellä virtauksia jopa 10 gigabittiä sekunnissa perinteisillä laitteilla.
  • Tehokas maskin täsmäytysmekanismi suurille IP-osoitteille. Tuki sisällön valitsemiseen maskin ja säännöllisten lausekkeiden avulla. Tiedostojen eristäminen liikenteestä, mukaan lukien niiden tunnistaminen nimen, tyypin tai MD5-tarkistussumman perusteella.
  • Mahdollisuus käyttää muuttujia säännöissä: voit tallentaa tietoja virrasta ja käyttää niitä myöhemmin muissa säännöissä;
  • YAML-muodon käyttö määritystiedostoissa, mikä mahdollistaa selkeyden säilyttämisen samalla kun se on helppo työstää;
  • Täysi IPv6-tuki;
  • Sisäänrakennettu moottori pakettien automaattiseen eheyttämiseen ja uudelleen kokoamiseen, mikä mahdollistaa virtojen oikean käsittelyn pakettien saapumisjärjestyksestä riippumatta;
  • Tuki tunnelointiprotokollalle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakettien dekoodauksen tuki: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Tila TLS/SSL-yhteyksissä esiintyvien avainten ja varmenteiden kirjaamiseen;
  • Kyky kirjoittaa skriptejä Luassa edistyneen analyysin tarjoamiseksi ja lisäominaisuuksien toteuttamiseksi, joita tarvitaan tunnistamaan liikennetyypit, joille vakiosäännöt eivät riitä.

Lähde: opennet.ru

Lisää kommentti