ProHoster > Blog > actualités internet > Sortie du système de détection d'intrusion Suricata 6.0

Sortie du système de détection d'intrusion Suricata 6.0

Après un an de développement, l'organisation OISF (Open Information Security Foundation) опубликовала lancement du système de détection et de prévention des intrusions sur les réseaux Suricate 6.0, qui permet d'inspecter différents types de trafic. Dans les configurations Suricata, il est permis d'utiliser bases de signature, développé par le projet Snort, ainsi que des ensembles de règles Menaces émergentes и Menaces émergentes Pro. Code source du projet propagé sous licence GPLv2.

Les principaux changements:

  • Prise en charge initiale de HTTP/2.
  • Prise en charge des protocoles RFB et MQTT, y compris la possibilité de définir le protocole et de tenir un journal.
  • Possibilité de logging pour le protocole DCERPC.
  • Amélioration significative des performances de journalisation via le sous-système EVE, qui fournit une sortie d'événement au format JSON. L'accélération a été obtenue grâce à l'utilisation d'un nouveau générateur de stock JSON écrit en langage Rust.
  • L'évolutivité du système de journalisation EVE a été augmentée et la possibilité de conserver un fichier journal séparé pour chaque thread a été implémentée.
  • Possibilité de définir des conditions de réinitialisation des informations dans le journal.
  • Possibilité de refléter les adresses MAC dans le journal EVE et d'augmenter le détail du journal DNS.
  • Améliorer les performances du moteur de flux.
  • Prise en charge de l'identification des implémentations SSH (HASCH).
  • Implémentation du décodeur tunnel GENEVE.
  • Le code de traitement a été réécrit en langage Rust ASN.1, DCERPC et SSH. Rust prend également en charge de nouveaux protocoles.
  • Dans le langage de définition de règles, la prise en charge du paramètre from_end a été ajoutée au mot-clé byte_jump et la prise en charge du paramètre bitmask a été ajoutée à byte_test. Implémentation du mot-clé pcrexform pour permettre l'utilisation d'expressions régulières (pcre) pour capturer une sous-chaîne. Ajout de la conversion du décodage d'URL. Ajout du mot-clé byte_math.
  • Fournit la possibilité d'utiliser cbindgen pour générer des liaisons dans les langages Rust et C.
  • Ajout du support initial du plugin.

Caractéristiques du Suricata :

  • Utilisation d'un format unifié pour afficher les résultats de validation unifié2, également utilisé par le projet Snort, permettant l'utilisation d'outils d'analyse standards tels que basse-cour2. Possibilité d'intégration avec les produits BASE, Snorby, Sguil et SQueRT. Prise en charge de la sortie au format PCAP ;
  • Prise en charge de la détection automatique des protocoles (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), qui permet d'opérer dans les règles uniquement par type de protocole, sans référence au numéro de port (par exemple , pour bloquer le trafic HTTP sur un port non standard) . Décodeurs pour les protocoles HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP et SSH ;
  • Un puissant système d'analyse du trafic HTTP qui utilise une bibliothèque HTP spéciale créée par l'auteur du projet Mod_Security pour analyser et normaliser le trafic HTTP. Un module est disponible pour maintenir un journal détaillé des transferts HTTP en transit, le journal est enregistré dans un format standard
    Apache. L'extraction et la vérification des fichiers transférés via le protocole HTTP sont prises en charge. Prise en charge de l'analyse du contenu compressé. Possibilité d'identification par URI, cookie, en-têtes, user-agent, corps de requête/réponse ;

  • Prise en charge de diverses interfaces pour intercepter le trafic, notamment NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Il est possible d'analyser des fichiers déjà enregistrés au format PCAP ;
  • Hautes performances, capacité à traiter des flux jusqu'à 10 gigabits/sec sur des équipements classiques.
  • Moteur de correspondance de masques hautes performances avec de grands ensembles d'adresses IP. Prise en charge de la sélection de contenu par masque et expressions régulières. Séparation des fichiers du trafic, y compris leur identification par nom, type ou somme de contrôle MD5.
  • Possibilité d'utiliser des variables dans les règles : vous pouvez enregistrer les informations du flux et les utiliser ultérieurement dans d'autres règles ;
  • Utilisation du format YAML dans les fichiers de configuration, qui permet de conserver une visibilité avec facilité de traitement machine ;
  • Prise en charge complète d'IPv6 ;
  • Moteur intégré de défragmentation et de réassemblage automatique des paquets, qui permet d'assurer un traitement correct des flux, quel que soit l'ordre d'arrivée des paquets ;
  • Prise en charge des protocoles de tunneling : Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE ;
  • Prise en charge du décodage de paquets : IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN ;
  • Mode de journalisation pour les clés et les certificats qui apparaissent dans les connexions TLS/SSL ;
  • La possibilité d'écrire des scripts Lua pour fournir une analyse avancée et implémenter des fonctionnalités supplémentaires nécessaires pour identifier les types de trafic pour lesquels les règles standard ne suffisent pas.

Source: opennet.ru

Ajouter un commentaire