ProHoster > Blog > actualités internet > Système de détection d'attaque Suricata 5.0 disponible

Système de détection d'attaque Suricata 5.0 disponible

Organisation OISF (Open Information Security Foundation) опубликовала lancement du système de détection et de prévention des intrusions sur les réseaux Suricate 5.0, qui permet d'inspecter différents types de trafic. Dans les configurations Suricata, il est permis d'utiliser bases de signature, développé par le projet Snort, ainsi que des ensembles de règles Menaces émergentes и Menaces émergentes Pro. Code source du projet propagé sous licence GPLv2.

Les principaux changements:

  • Introduction de nouveaux modules d'analyse et de journalisation pour les protocoles
    RDP, SNMP et SIP écrits en Rust. La possibilité de se connecter via le sous-système EVE, qui fournit la sortie des événements au format JSON, a été ajoutée au module d'analyse FTP ;

  • Outre la prise en charge de la méthode d'authentification client JA3 TLS introduite dans la version précédente, la prise en charge de la méthode JA3S, en permettant en fonction des spécificités de la négociation de connexion et des paramètres spécifiés, déterminez quel logiciel est utilisé pour établir une connexion (par exemple, il vous permet de déterminer l'utilisation de Tor et d'autres applications typiques). JA3 permet de définir des clients, et JA3S - des serveurs. Les résultats de la détermination peuvent être utilisés dans le langage de définition des règles et dans les journaux ;
  • Ajout de la capacité expérimentale de mise en correspondance avec un échantillon de grands ensembles de données, implémentée à l'aide de nouvelles opérations ensemble de données et datarep. Par exemple, la fonctionnalité s'applique à la recherche de masques dans de grandes listes noires contenant des millions d'entrées ;
  • Le mode d'inspection HTTP offre une couverture complète de toutes les situations décrites dans la suite de tests Évadeur HTTP (par exemple, couvre les méthodes utilisées pour masquer les activités malveillantes dans le trafic) ;
  • Les outils de développement de modules Rust ont été déplacés des options vers les fonctionnalités standard requises. À l'avenir, il est prévu d'étendre l'utilisation de Rust dans la base de code du projet et de remplacer progressivement les modules par des analogues développés dans Rust ;
  • Le moteur de détection de protocole a été amélioré en termes de précision et de gestion des flux de trafic asynchrones ;
  • La prise en charge a été ajoutée au journal EVE pour un nouveau type d'enregistrement, "anomalie", qui stocke les événements atypiques détectés lors du décodage des paquets. EVE a également étendu l'affichage des informations sur les VLAN et les interfaces de capture de trafic. Ajout d'une option pour enregistrer tous les en-têtes HTTP dans les entrées http du journal EVE ;
  • Les gestionnaires basés sur eBPF prennent en charge les mécanismes matériels pour accélérer la capture de paquets. L'accélération matérielle est actuellement limitée aux adaptateurs réseau Netronome, mais apparaîtra bientôt pour d'autres équipements ;
  • Code réécrit pour capturer le trafic à l'aide du framework Netmap. Ajout de la possibilité d'utiliser des fonctionnalités Netmap avancées telles qu'un commutateur virtuel VALE;
  • Ajouté par prise en charge d'un nouveau schéma de définition de mots-clés pour Sticky Buffers. Le nouveau schéma est défini au format protocol.buffer, par exemple, pour introspecter un URI, le mot-clé serait « http.uri » au lieu de « http_uri » ;
  • Tout le code Python utilisé est testé pour sa compatibilité avec
    Python 3 ;

  • La prise en charge de l'architecture Tilera, du journal texte dns.log et de l'ancien journal files-json.log a été interrompue.

Caractéristiques du Suricata :

  • Utilisation d'un format unifié pour afficher les résultats de validation unifié2, également utilisé par le projet Snort, permettant l'utilisation d'outils d'analyse standards tels que basse-cour2. Possibilité d'intégration avec les produits BASE, Snorby, Sguil et SQueRT. Prise en charge de la sortie au format PCAP ;
  • Prise en charge de la détection automatique des protocoles (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), qui permet d'opérer dans les règles uniquement par type de protocole, sans référence au numéro de port (par exemple , pour bloquer le trafic HTTP sur un port non standard) . Décodeurs pour les protocoles HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP et SSH ;
  • Un puissant système d'analyse du trafic HTTP qui utilise une bibliothèque HTP spéciale créée par l'auteur du projet Mod_Security pour analyser et normaliser le trafic HTTP. Un module est disponible pour maintenir un journal détaillé des transferts HTTP en transit, le journal est enregistré dans un format standard
    Apache. L'extraction et la vérification des fichiers transférés via le protocole HTTP sont prises en charge. Prise en charge de l'analyse du contenu compressé. Possibilité d'identification par URI, cookie, en-têtes, user-agent, corps de requête/réponse ;

  • Prise en charge de diverses interfaces pour intercepter le trafic, notamment NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Il est possible d'analyser des fichiers déjà enregistrés au format PCAP ;
  • Hautes performances, capacité à traiter des flux jusqu'à 10 gigabits/sec sur des équipements classiques.
  • Moteur de correspondance de masques hautes performances avec de grands ensembles d'adresses IP. Prise en charge de la sélection de contenu par masque et expressions régulières. Séparation des fichiers du trafic, y compris leur identification par nom, type ou somme de contrôle MD5.
  • Possibilité d'utiliser des variables dans les règles : vous pouvez enregistrer les informations du flux et les utiliser ultérieurement dans d'autres règles ;
  • Utilisation du format YAML dans les fichiers de configuration, qui permet de conserver une visibilité avec facilité de traitement machine ;
  • Prise en charge complète d'IPv6 ;
  • Moteur intégré de défragmentation et de réassemblage automatique des paquets, qui permet d'assurer un traitement correct des flux, quel que soit l'ordre d'arrivée des paquets ;
  • Prise en charge des protocoles de tunneling : Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE ;
  • Prise en charge du décodage de paquets : IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN ;
  • Mode de journalisation pour les clés et les certificats qui apparaissent dans les connexions TLS/SSL ;
  • La possibilité d'écrire des scripts Lua pour fournir une analyse avancée et implémenter des fonctionnalités supplémentaires nécessaires pour identifier les types de trafic pour lesquels les règles standard ne suffisent pas.

    • Source: opennet.ru

Ajouter un commentaire