ProHoster > Blog > ynternet nijs > Release fan Suricata 6.0 ynbraakdeteksjesysteem

Release fan Suricata 6.0 ynbraakdeteksjesysteem

Nei in jier fan ûntwikkeling, de OISF (Open Information Security Foundation) organisaasje publisearre frijlitting fan netwurk ynbraak detection en previnsje systeem Meerkat 6.0, dy't ark biedt foar it ynspektearjen fan ferskate soarten ferkear. Yn Suricata-konfiguraasjes is it mooglik om te brûken hantekening databases, ûntwikkele troch it Snort-projekt, lykas sets fan regels Opkommende bedrigingen и Emerging Threats Pro. Projekt boarnen fersprieding lisinsje ûnder GPLv2.

Grutte feroaringen:

  • Inisjele stipe foar HTTP/2.
  • Stipe foar RFB- en MQTT-protokollen, ynklusyf de mooglikheid om it protokol te definiearjen en in log te hâlden.
  • Mooglikheid om te loggen foar it DCERPC-protokol.
  • Signifikante ferbettering yn logging prestaasjes fia it EVE subsysteem, dat leveret evenemint útfier yn JSON formaat. De fersnelling waard berikt troch it brûken fan in nije JSON-stockbouwer skreaun yn 'e Rust-taal.
  • De skalberens fan it EVE-logsysteem is ferhege en de mooglikheid om in apart logbestân foar elke thread te behâlden is ymplementearre.
  • Mooglikheid om betingsten te definiearjen foar it weromsette fan ynformaasje nei it log.
  • Mooglikheid om MAC-adressen yn it EVE-log te reflektearjen en it detail fan it DNS-log te fergrutsjen.
  • Ferbetterjen fan de prestaasjes fan 'e flowmotor.
  • Stipe foar it identifisearjen fan SSH-ymplemintaasjes (HASSH).
  • Implementaasje fan de GENEVE tunnel decoder.
  • De koade foar ferwurking is wer skreaun yn de Rusttaal ASN.1, DCERPC en SSH. Rust stipet ek nije protokollen.
  • Yn 'e regeldefinysjetaal is stipe foar de parameter from_end tafoege oan it kaaiwurd byte_jump, en stipe foar de parameter bitmask is tafoege oan byte_test. Implementearre it pcrexform-kaaiwurd om reguliere útdrukkingen (pcre) te brûken om in substring te fangen. Added urldecode konverzje. Byte_math kaaiwurd tafoege.
  • Biedt de mooglikheid om cbindgen te brûken om bindingen te generearjen yn Rust- en C-talen.
  • Inisjele plugin-stipe tafoege.

Funksjes fan Suricata:

  • In unifoarme opmaak brûke om scanresultaten wer te jaan Unified 2, ek brûkt troch it Snort-projekt, wêrtroch it gebrûk fan standert analyse-ark as boerderij 2. Mooglikheid fan yntegraasje mei BASE, Snorby, Sguil en SQueRT produkten. PCAP útfier stipe;
  • Stipe foar automatyske deteksje fan protokollen (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ensfh.), wêrtroch jo allinich yn regels kinne operearje troch protokoltype, sûnder ferwizing nei it poartenûmer (bygelyks HTTP blokkearje ferkear op in net-standert haven). Beskikberens fan decoders foar HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP en SSH protokollen;
  • In krêftich HTTP-ferkearanalysesysteem dat in spesjale HTP-bibleteek brûkt, makke troch de skriuwer fan it Mod_Security-projekt om HTTP-ferkear te parsearjen en te normalisearjen. In module is beskikber foar it ûnderhâlden fan in detaillearre log fan transit HTTP-oerdrachten; it log wurdt bewarre yn in standertformaat
    Apache. It opheljen en kontrolearjen fan bestannen oerstjoerd fia HTTP wurdt stipe. Stipe foar it parsearjen fan komprimearre ynhâld. Mooglikheid om te identifisearjen troch URI, Cookie, kopteksten, brûker-agent, fersyk / antwurd lichem;

  • Stipe foar ferskate ynterfaces foar ferkearsûnderskepping, ynklusyf NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. It is mooglik om te analysearjen al bewarre triemmen yn PCAP formaat;
  • Hege prestaasjes, fermogen om streamen te ferwurkjen oant 10 gigabits / sek op konvinsjonele apparatuer.
  • Mechanisme foar oerienkommende masker mei hege prestaasjes foar grutte sets fan IP-adressen. Stipe foar it selektearjen fan ynhâld troch masker en reguliere útdrukkingen. Bestannen isolearje fan ferkear, ynklusyf har identifikaasje troch namme, type of MD5-kontrôlesum.
  • Mooglikheid om fariabelen yn regels te brûken: jo kinne ynformaasje fan in stream bewarje en letter brûke yn oare regels;
  • Gebrûk fan it YAML-formaat yn konfiguraasjebestannen, wêrtroch jo dúdlikens kinne behâlde, wylst jo maklik te masjineproses binne;
  • Folsleine IPv6-stipe;
  • Ynboude motor foar automatyske defragmentaasje en opnij gearstalle fan pakketten, wêrtroch foar juste ferwurking fan streamen mooglik is, nettsjinsteande de folchoarder wêryn pakketten oankomme;
  • Stipe foar tunnelingprotokollen: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Stipe foar pakketdekodearring: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode foar it loggen fan kaaien en sertifikaten dy't ferskine binnen TLS / SSL-ferbiningen;
  • De mooglikheid om skripts yn Lua te skriuwen om avansearre analyse te leverjen en ekstra mooglikheden te ymplementearjen dy't nedich binne om soarten ferkear te identifisearjen wêrfoar standertregels net genôch binne.

Boarne: opennet.ru

Add a comment