प्रोहोस्टर > ब्लॉग > इंटरनेट समाचार > सुरीकाटा 6.0 घुसपैठ का पता लगाने वाली प्रणाली का विमोचन

सुरीकाटा 6.0 घुसपैठ का पता लगाने वाली प्रणाली का विमोचन

После года разработки организация OISF (Open Information Security Foundation) प्रकाशित नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली का विमोचन मीरकैट 6.0, जो विभिन्न प्रकार के यातायात का निरीक्षण करने के लिए उपकरण प्रदान करता है। Suricata कॉन्फ़िगरेशन में इसका उपयोग करना संभव है हस्ताक्षर डेटाबेस, स्नॉर्ट परियोजना द्वारा विकसित, साथ ही नियमों के सेट उभरते खतरे и उभरते खतरे प्रो. परियोजना स्रोत फैलाना GPLv2 के अंतर्गत लाइसेंस प्राप्त।

मुख्य परिवर्तन:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (हैश).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

सुरीकाटा की विशेषताएं:

  • स्कैन परिणाम प्रदर्शित करने के लिए एकीकृत प्रारूप का उपयोग करना एकीकृत2, जिसका उपयोग स्नॉर्ट प्रोजेक्ट द्वारा भी किया जाता है, जो मानक विश्लेषण टूल जैसे के उपयोग की अनुमति देता है बार्नयार्ड2. BASE, Snorby, Sguil और SQueRT उत्पादों के साथ एकीकरण की संभावना। पीसीएपी आउटपुट समर्थन;
  • प्रोटोकॉल (आईपी, टीसीपी, यूडीपी, आईसीएमपी, HTTP, टीएलएस, एफ़टीपी, एसएमबी, आदि) की स्वचालित पहचान के लिए समर्थन, आपको पोर्ट नंबर के संदर्भ के बिना, केवल प्रोटोकॉल प्रकार द्वारा नियमों में काम करने की अनुमति देता है (उदाहरण के लिए, HTTP को ब्लॉक करें) गैर-मानक बंदरगाह पर यातायात)। HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP और SSH प्रोटोकॉल के लिए डिकोडर की उपलब्धता;
  • एक शक्तिशाली HTTP ट्रैफ़िक विश्लेषण प्रणाली जो HTTP ट्रैफ़िक को पार्स और सामान्य करने के लिए Mod_Security प्रोजेक्ट के लेखक द्वारा बनाई गई एक विशेष HTP लाइब्रेरी का उपयोग करती है। ट्रांज़िट HTTP ट्रांसफ़र के विस्तृत लॉग को बनाए रखने के लिए एक मॉड्यूल उपलब्ध है; लॉग को एक मानक प्रारूप में सहेजा जाता है
    अमरीका की एक मूल जनजाति। HTTP के माध्यम से प्रेषित फ़ाइलों को पुनर्प्राप्त करना और जांचना समर्थित है। संपीड़ित सामग्री को पार्स करने के लिए समर्थन। यूआरआई, कुकी, हेडर, उपयोगकर्ता-एजेंट, अनुरोध/प्रतिक्रिया निकाय द्वारा पहचानने की क्षमता;

  • ट्रैफ़िक अवरोधन के लिए विभिन्न इंटरफ़ेस के लिए समर्थन, जिसमें NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING शामिल हैं। पीसीएपी प्रारूप में पहले से सहेजी गई फ़ाइलों का विश्लेषण करना संभव है;
  • उच्च प्रदर्शन, पारंपरिक उपकरणों पर 10 गीगाबिट/सेकंड तक प्रवाह को संसाधित करने की क्षमता।
  • आईपी ​​​​पते के बड़े सेट के लिए उच्च-प्रदर्शन मास्क मिलान तंत्र। मास्क और रेगुलर एक्सप्रेशन द्वारा सामग्री का चयन करने के लिए समर्थन। फ़ाइलों को ट्रैफ़िक से अलग करना, जिसमें नाम, प्रकार या एमडी5 चेकसम द्वारा उनकी पहचान शामिल है।
  • नियमों में चर का उपयोग करने की क्षमता: आप एक स्ट्रीम से जानकारी सहेज सकते हैं और बाद में इसे अन्य नियमों में उपयोग कर सकते हैं;
  • कॉन्फ़िगरेशन फ़ाइलों में YAML प्रारूप का उपयोग, जो आपको मशीन प्रक्रिया में आसान होने के साथ-साथ स्पष्टता बनाए रखने की अनुमति देता है;
  • पूर्ण IPv6 समर्थन;
  • स्वचालित डीफ़्रेग्मेंटेशन और पैकेटों के पुन: संयोजन के लिए अंतर्निहित इंजन, स्ट्रीम के सही प्रसंस्करण की अनुमति देता है, भले ही पैकेट आने वाले क्रम की परवाह किए बिना;
  • टनलिंग प्रोटोकॉल के लिए समर्थन: टेरेडो, आईपी-आईपी, आईपी6-आईपी4, आईपी4-आईपी6, जीआरई;
  • पैकेट डिकोडिंग समर्थन: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ईथरनेट, PPP, PPPoE, रॉ, SLL, VLAN;
  • टीएलएस/एसएसएल कनेक्शन के भीतर प्रदर्शित होने वाली लॉगिंग कुंजियों और प्रमाणपत्रों के लिए मोड;
  • उन्नत विश्लेषण प्रदान करने और ट्रैफ़िक के प्रकारों की पहचान करने के लिए आवश्यक अतिरिक्त क्षमताओं को लागू करने के लिए लुआ में स्क्रिप्ट लिखने की क्षमता, जिसके लिए मानक नियम पर्याप्त नहीं हैं।

स्रोत: opennet.ru

एक टिप्पणी जोड़ें