ProHoster > Blog > noticias de internet > Lanzamento do sistema de detección de intrusos Suricata 6.0

Lanzamento do sistema de detección de intrusos Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) publicado liberación do sistema de detección e prevención de intrusións na rede Meerkat 6.0, que proporciona ferramentas para inspeccionar varios tipos de tráfico. Nas configuracións de Suricata é posible usar bases de datos de firmas, desenvolvido polo proxecto Snort, así como conxuntos de normas Ameazas emerxentes и Emerging Threats Pro. Fontes do proxecto espallamento licenciado baixo GPLv2.

Principais cambios:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HAXIX).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Características de Suricata:

  • Usando un formato unificado para mostrar os resultados da exploración Unificado 2, tamén utilizado polo proxecto Snort, que permite o uso de ferramentas de análise estándar como curro 2. Posibilidade de integración con produtos BASE, Snorby, Sguil e SQueRT. soporte de saída PCAP;
  • Soporte para a detección automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), o que lle permite operar en regras só por tipo de protocolo, sen facer referencia ao número de porto (por exemplo, bloquear HTTP). tráfico nun porto non estándar). Dispoñibilidade de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
  • Un poderoso sistema de análise de tráfico HTTP que utiliza unha biblioteca HTP especial creada polo autor do proxecto Mod_Security para analizar e normalizar o tráfico HTTP. Hai un módulo dispoñible para manter un rexistro detallado das transferencias HTTP de tránsito; o rexistro gárdase nun formato estándar
    Apache. Admítese a recuperación e comprobación de ficheiros transmitidos a través de HTTP. Soporte para analizar contido comprimido. Capacidade de identificar por URI, cookie, cabeceiras, axente de usuario, corpo de solicitude/resposta;

  • Compatibilidade con varias interfaces para a interceptación do tráfico, incluíndo NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. É posible analizar ficheiros xa gardados en formato PCAP;
  • Alto rendemento, capacidade de procesar fluxos de ata 10 gigabits/s en equipos convencionais.
  • Mecanismo de coincidencia de máscaras de alto rendemento para grandes conxuntos de enderezos IP. Soporte para seleccionar contido por máscara e expresións regulares. Illar ficheiros do tráfico, incluída a súa identificación por nome, tipo ou suma de verificación MD5.
  • Capacidade de usar variables nas regras: pode gardar información dun fluxo e usala posteriormente noutras regras;
  • Uso do formato YAML nos ficheiros de configuración, o que permite manter a claridade ao tempo que é fácil de procesar;
  • Compatibilidade total con IPv6;
  • Motor incorporado para a desfragmentación automática e a montaxe de paquetes, permitindo o procesamento correcto dos fluxos, independentemente da orde na que chegan os paquetes;
  • Soporte para protocolos de tunelización: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Soporte de decodificación de paquetes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modo para rexistrar claves e certificados que aparecen nas conexións TLS/SSL;
  • A capacidade de escribir scripts en Lua para proporcionar análises avanzadas e implementar capacidades adicionais necesarias para identificar tipos de tráfico para os que as regras estándar non son suficientes.

Fonte: opennet.ru

Engadir un comentario