🥇Suricata 5.0 એટેક ડિટેક્શન સિસ્ટમ ઉપલબ્ધ

સંસ્થા OISF (ઓપન ઇન્ફોર્મેશન સિક્યુરિટી ફાઉન્ડેશન) પ્રકાશિત નેટવર્ક ઘુસણખોરી શોધ અને નિવારણ સિસ્ટમનું પ્રકાશન મીરકટ 5.0, જે વિવિધ પ્રકારના ટ્રાફિકનું નિરીક્ષણ કરવા માટે સાધનો પ્રદાન કરે છે. Suricata રૂપરેખાંકનોમાં તેનો ઉપયોગ કરવો શક્ય છે સહી ડેટાબેસેસ, Snort પ્રોજેક્ટ દ્વારા વિકસિત, તેમજ નિયમોના સેટ ઇમર્જિંગ થ્રેટ્સ и ઇમર્જિંગ થ્રેટ્સ પ્રો. પ્રોજેક્ટ સ્ત્રોતો ફેલાવો GPLv2 હેઠળ લાઇસન્સ.

મુખ્ય ફેરફારો:

પાર્સિંગ અને લોગીંગ પ્રોટોકોલ્સ માટે નવા મોડ્યુલો રજૂ કરવામાં આવ્યા છે
RDP, SNMP અને SIP રસ્ટમાં લખાયેલ છે. EVE સબસિસ્ટમ દ્વારા લોગ કરવાની ક્ષમતા FTP પાર્સિંગ મોડ્યુલમાં ઉમેરવામાં આવી છે, જે JSON ફોર્મેટમાં ઇવેન્ટ આઉટપુટ પ્રદાન કરે છે;
JA3 TLS ક્લાયંટ આઇડેન્ટિફિકેશન મેથડ માટે સપોર્ટ ઉપરાંત જે છેલ્લી રિલીઝમાં દેખાય છે, પદ્ધતિ માટે સપોર્ટ જેએ3એસ, પરવાનગી આપે છે કનેક્શન વાટાઘાટોની લાક્ષણિકતાઓ અને ઉલ્લેખિત પરિમાણોના આધારે, કનેક્શન સ્થાપિત કરવા માટે કયા સૉફ્ટવેરનો ઉપયોગ કરવામાં આવે છે તે નિર્ધારિત કરો (ઉદાહરણ તરીકે, તે તમને ટોર અને અન્ય પ્રમાણભૂત એપ્લિકેશનોનો ઉપયોગ નક્કી કરવાની મંજૂરી આપે છે). JA3 તમને ક્લાયંટને વ્યાખ્યાયિત કરવાની મંજૂરી આપે છે, અને JA3S તમને સર્વર્સને વ્યાખ્યાયિત કરવાની મંજૂરી આપે છે. નિર્ધારણના પરિણામોનો ઉપયોગ નિયમ સેટિંગ ભાષામાં અને લૉગમાં કરી શકાય છે;
નવા ઓપરેશન્સનો ઉપયોગ કરીને અમલમાં મૂકાયેલ મોટા ડેટા સેટ્સમાંથી નમૂનાઓને મેચ કરવાની પ્રાયોગિક ક્ષમતા ઉમેરવામાં આવી છે ડેટાસેટ અને ડેટારેપ. ઉદાહરણ તરીકે, આ સુવિધા લાખો એન્ટ્રી ધરાવતી મોટી બ્લેકલિસ્ટમાં માસ્ક શોધવા માટે લાગુ પડે છે;
HTTP નિરીક્ષણ મોડ ટેસ્ટ સ્યુટમાં વર્ણવેલ તમામ પરિસ્થિતિઓનું સંપૂર્ણ કવરેજ પ્રદાન કરે છે HTTP Evader (દા.ત., ટ્રાફિકમાં દૂષિત પ્રવૃત્તિને છુપાવવા માટે વપરાતી તકનીકોને આવરી લે છે);
રસ્ટ ભાષામાં મોડ્યુલો વિકસાવવા માટેના સાધનોને વિકલ્પોમાંથી ફરજિયાત માનક ક્ષમતાઓમાં સ્થાનાંતરિત કરવામાં આવ્યા છે. ભવિષ્યમાં, પ્રોજેક્ટ કોડ બેઝમાં રસ્ટના ઉપયોગને વિસ્તૃત કરવાની અને રસ્ટમાં વિકસિત એનાલોગ સાથે મોડ્યુલોને ધીમે ધીમે બદલવાની યોજના છે;
પ્રોટોકોલ ડેફિનેશન એન્જિનમાં ચોકસાઈ સુધારવા અને અસુમેળ ટ્રાફિક ફ્લોને હેન્ડલ કરવા માટે સુધારેલ છે;
નવા "વિસંગતતા" એન્ટ્રી પ્રકાર માટે સપોર્ટ EVE લોગમાં ઉમેરવામાં આવ્યો છે, જે પેકેટોને ડીકોડ કરતી વખતે શોધાયેલ અસામાન્ય ઘટનાઓને સંગ્રહિત કરે છે. EVE એ VLAN અને ટ્રાફિક કેપ્ચર ઇન્ટરફેસ વિશેની માહિતીના પ્રદર્શનને પણ વિસ્તૃત કર્યું છે. EVE HTTP લોગ એન્ટ્રીઓમાં બધા HTTP હેડરોને સાચવવા માટેનો વિકલ્પ ઉમેર્યો;
eBPF-આધારિત હેન્ડલર્સ પેકેટ કેપ્ચરને વેગ આપવા માટે હાર્ડવેર મિકેનિઝમ માટે સપોર્ટ પૂરો પાડે છે. હાર્ડવેર પ્રવેગક હાલમાં નેટ્રોનોમ નેટવર્ક એડેપ્ટર સુધી મર્યાદિત છે, પરંતુ ટૂંક સમયમાં અન્ય સાધનો માટે ઉપલબ્ધ થશે;
નેટમેપ ફ્રેમવર્કનો ઉપયોગ કરીને ટ્રાફિક મેળવવા માટેનો કોડ ફરીથી લખવામાં આવ્યો છે. વર્ચ્યુઅલ સ્વિચ જેવી અદ્યતન નેટમેપ સુવિધાઓનો ઉપયોગ કરવાની ક્ષમતા ઉમેરાઈ VALE;
ઉમેર્યું સ્ટીકી બફર્સ માટે નવી કીવર્ડ વ્યાખ્યા યોજના માટે સપોર્ટ. નવી સ્કીમને “protocol.buffer” ફોર્મેટમાં વ્યાખ્યાયિત કરવામાં આવી છે, ઉદાહરણ તરીકે, URI નું નિરીક્ષણ કરવા માટે, કીવર્ડ “http_uri” ને બદલે “http.uri” ફોર્મ લેશે;
ઉપયોગમાં લેવાતા તમામ પાયથોન કોડ સાથે સુસંગતતા માટે પરીક્ષણ કરવામાં આવે છે
પાયથોન 3;
ટિલેરા આર્કિટેક્ચર, ટેક્સ્ટ લોગ dns.log અને જૂની લોગ ફાઇલો-json.log માટે સપોર્ટ બંધ કરવામાં આવ્યો છે.

Suricata ની વિશેષતાઓ:

સ્કેન પરિણામો પ્રદર્શિત કરવા માટે એકીકૃત ફોર્મેટનો ઉપયોગ કરવો એકીકૃત2, Snort પ્રોજેક્ટ દ્વારા પણ ઉપયોગમાં લેવાય છે, જે પ્રમાણભૂત વિશ્લેષણ સાધનોનો ઉપયોગ કરવાની મંજૂરી આપે છે જેમ કે ઘરઆંગણે2. BASE, Snorby, Sguil અને SQueRT ઉત્પાદનો સાથે એકીકરણની શક્યતા. PCAP આઉટપુટ સપોર્ટ;
પ્રોટોકોલ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, વગેરે) ની સ્વચાલિત શોધ માટે સપોર્ટ, તમને પોર્ટ નંબરના સંદર્ભ વિના, ફક્ત પ્રોટોકોલ પ્રકાર દ્વારા નિયમોમાં કાર્ય કરવાની મંજૂરી આપે છે (ઉદાહરણ તરીકે, HTTP ને અવરોધિત કરો. બિન-માનક બંદર પર ટ્રાફિક). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP અને SSH પ્રોટોકોલ્સ માટે ડીકોડરની ઉપલબ્ધતા;
એક શક્તિશાળી HTTP ટ્રાફિક વિશ્લેષણ સિસ્ટમ કે જે HTTP ટ્રાફિકને પાર્સ અને સામાન્ય કરવા માટે Mod_Security પ્રોજેક્ટના લેખક દ્વારા બનાવેલ વિશિષ્ટ HTP લાઇબ્રેરીનો ઉપયોગ કરે છે. ટ્રાન્ઝિટ HTTP ટ્રાન્સફરનો વિગતવાર લોગ જાળવવા માટે મોડ્યુલ ઉપલબ્ધ છે; લોગ પ્રમાણભૂત ફોર્મેટમાં સાચવવામાં આવે છે
અપાચે. HTTP દ્વારા પ્રસારિત ફાઇલોને પુનઃપ્રાપ્ત અને તપાસવાનું સમર્થન છે. સંકુચિત સામગ્રીને પાર્સ કરવા માટે સપોર્ટ. URI, કૂકી, હેડરો, વપરાશકર્તા-એજન્ટ, વિનંતી/પ્રતિસાદ સંસ્થા દ્વારા ઓળખવાની ક્ષમતા;
NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING સહિત ટ્રાફિક ઇન્ટરસેપ્શન માટે વિવિધ ઇન્ટરફેસ માટે સપોર્ટ. PCAP ફોર્મેટમાં પહેલેથી સાચવેલી ફાઇલોનું વિશ્લેષણ કરવું શક્ય છે;
ઉચ્ચ પ્રદર્શન, પરંપરાગત સાધનો પર 10 ગીગાબીટ/સેકંડ સુધીના પ્રવાહની પ્રક્રિયા કરવાની ક્ષમતા.
આઇપી એડ્રેસના મોટા સેટ માટે હાઇ-પર્ફોર્મન્સ માસ્ક મેચિંગ મિકેનિઝમ. માસ્ક અને નિયમિત અભિવ્યક્તિઓ દ્વારા સામગ્રી પસંદ કરવા માટે સપોર્ટ. નામ, પ્રકાર અથવા MD5 ચેકસમ દ્વારા તેમની ઓળખ સહિત ટ્રાફિકથી ફાઇલોને અલગ કરવી.
નિયમોમાં ચલોનો ઉપયોગ કરવાની ક્ષમતા: તમે સ્ટ્રીમમાંથી માહિતી સાચવી શકો છો અને પછીથી અન્ય નિયમોમાં તેનો ઉપયોગ કરી શકો છો;
રૂપરેખાંકન ફાઇલોમાં YAML ફોર્મેટનો ઉપયોગ, જે તમને મશીન પ્રક્રિયામાં સરળ હોવા છતાં સ્પષ્ટતા જાળવવા માટે પરવાનગી આપે છે;
સંપૂર્ણ IPv6 સપોર્ટ;
સ્વચાલિત ડિફ્રેગમેન્ટેશન અને પેકેટોને ફરીથી એસેમ્બલી કરવા માટે બિલ્ટ-ઇન એન્જિન, સ્ટ્રીમ્સની યોગ્ય પ્રક્રિયા માટે પરવાનગી આપે છે, પેકેટો કયા ક્રમમાં આવે છે તે ધ્યાનમાં લીધા વગર;
ટનલિંગ પ્રોટોકોલ્સ માટે સપોર્ટ: ટેરેડો, IP-IP, IP6-IP4, IP4-IP6, GRE;
પેકેટ ડીકોડિંગ સપોર્ટ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ઇથરનેટ, PPP, PPPoE, રો, SLL, VLAN;
TLS/SSL કનેક્શનમાં દેખાતી લોગીંગ કી અને પ્રમાણપત્રો માટેનો મોડ;
લુઆમાં સ્ક્રિપ્ટ લખવાની ક્ષમતા અદ્યતન વિશ્લેષણ પ્રદાન કરવા અને ટ્રાફિકના પ્રકારોને ઓળખવા માટે જરૂરી વધારાની ક્ષમતાઓનો અમલ કરવા માટે કે જેના માટે પ્રમાણભૂત નિયમો પૂરતા નથી.

સોર્સ: opennet.ru

Suricata 5.0 એટેક ડિટેક્શન સિસ્ટમ ઉપલબ્ધ છે

એક ટિપ્પણી ઉમેરો જવાબ રદ