ProHoster > Blog > internetske vijesti > Suricata 5.0 sustav za otkrivanje napada dostupan

Suricata 5.0 sustav za otkrivanje napada dostupan

Organizacija OISF (Open Information Security Foundation) опубликовала izdanje sustava za otkrivanje i sprječavanje upada u mrežu Meerkat 5.0, koji nudi alate za pregled raznih vrsta prometa. U Suricata konfiguracijama moguće je koristiti baze podataka potpisa, razvijen od strane projekta Snort, kao i skupova pravila Nove prijetnje и Emerging Threats Pro. Izvori projekta širenje licenciran pod GPLv2.

Velike promjene:

  • Uvedeni su novi moduli za raščlanjivanje i protokole zapisivanja
    RDP, SNMP i SIP napisani u Rustu. Mogućnost prijave preko podsustava EVE dodana je FTP modulu parsiranja, pružajući izlaz događaja u JSON formatu;

  • Uz podršku za JA3 TLS metodu identifikacije klijenta koja se pojavila u zadnjem izdanju, podrška za metodu JA3S, dopuštajući Na temelju karakteristika pregovaranja o povezivanju i navedenih parametara odredite koji se softver koristi za uspostavljanje veze (na primjer, omogućuje vam da odredite korištenje Tor-a i drugih standardnih aplikacija). JA3 omogućuje definiranje klijenata, a JA3S omogućuje definiranje poslužitelja. Rezultati određivanja mogu se koristiti u jeziku za postavljanje pravila iu zapisima;
  • Dodana je eksperimentalna mogućnost uparivanja uzoraka iz velikih skupova podataka, implementirana pomoću novih operacija skup podataka i datarep. Na primjer, značajka je primjenjiva na traženje maski u velikim crnim listama koje sadrže milijune unosa;
  • Način HTTP inspekcije pruža potpunu pokrivenost svih situacija opisanih u testnom paketu HTTP Evader (npr. pokriva tehnike koje se koriste za skrivanje zlonamjernih aktivnosti u prometu);
  • Alati za razvoj modula u jeziku Rust prebačeni su iz opcija u obvezne standardne mogućnosti. U budućnosti se planira proširiti korištenje Rusta u bazi projektnog koda i postupno zamijeniti module analozima razvijenim u Rustu;
  • Mehanizam za definiranje protokola poboljšan je kako bi poboljšao točnost i rukovao asinkronim prometnim tokovima;
  • Podrška za novu vrstu unosa "anomalija" dodana je u EVE log, koji pohranjuje atipične događaje otkrivene prilikom dekodiranja paketa. EVE je također proširio prikaz informacija o VLAN-ovima i sučeljima za snimanje prometa. Dodana opcija za spremanje svih HTTP zaglavlja u EVE http unose dnevnika;
  • Rukovatelji temeljeni na eBPF-u pružaju podršku za hardverske mehanizme za ubrzavanje hvatanja paketa. Hardversko ubrzanje trenutno je ograničeno na Netronome mrežne adaptere, ali će uskoro biti dostupno i za drugu opremu;
  • Kod za hvatanje prometa korištenjem Netmap okvira je ponovno napisan. Dodana mogućnost korištenja naprednih značajki Netmapa kao što je virtualni prekidač VALE;
  • Dodano podrška za novu shemu definiranja ključnih riječi za Sticky Buffers. Nova shema definirana je u formatu “protocol.buffer”, na primjer, za pregled URI-ja, ključna riječ će imati oblik “http.uri” umjesto “http_uri”;
  • Sav korišteni Python kod testiran je na kompatibilnost s
    Python 3;

  • Podrška za Tilera arhitekturu, tekstualni dnevnik dns.log i stare datoteke dnevnika-json.log je ukinuta.

Značajke Suricata:

  • Korištenje objedinjenog formata za prikaz rezultata skeniranja Unificirano2, koji također koristi projekt Snort, koji omogućuje korištenje standardnih alata za analizu kao što su dvorište2. Mogućnost integracije s BASE, Snorby, Sguil i SQueRT proizvodima. podrška za PCAP izlaz;
  • Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućuje rad u pravilima samo prema vrsti protokola, bez pozivanja na broj priključka (na primjer, blokirajte HTTP promet na nestandardnoj luci) . Dostupnost dekodera za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
  • Snažan sustav za analizu HTTP prometa koji koristi posebnu HTP biblioteku koju je izradio autor projekta Mod_Security za analizu i normalizaciju HTTP prometa. Dostupan je modul za vođenje detaljne evidencije tranzitnih HTTP prijenosa; evidencija se sprema u standardnom formatu
    Apache. Podržano je dohvaćanje i provjera datoteka prenesenih putem HTTP-a. Podrška za raščlanjivanje komprimiranog sadržaja. Mogućnost identifikacije pomoću URI-ja, kolačića, zaglavlja, korisničkog agenta, tijela zahtjeva/odgovora;

  • Podrška za različita sučelja za presretanje prometa, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već spremljene datoteke u PCAP formatu;
  • Visoke performanse, sposobnost obrade protoka do 10 gigabita/s na konvencionalnoj opremi.
  • Mehanizam podudaranja maski visokih performansi za velike skupove IP adresa. Podrška za odabir sadržaja pomoću maske i regularnih izraza. Izoliranje datoteka od prometa, uključujući njihovu identifikaciju imenom, vrstom ili MD5 kontrolnim zbrojem.
  • Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
  • Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućuje da zadržite jasnoću dok je jednostavan za strojnu obradu;
  • Puna IPv6 podrška;
  • Ugrađeni mehanizam za automatsku defragmentaciju i ponovno sastavljanje paketa, omogućavajući ispravnu obradu tokova, bez obzira na redoslijed pristizanja paketa;
  • Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podrška za dekodiranje paketa: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način za bilježenje ključeva i certifikata koji se pojavljuju unutar TLS/SSL veza;
  • Sposobnost pisanja skripti u Lua za pružanje napredne analize i implementacije dodatnih mogućnosti potrebnih za prepoznavanje vrsta prometa za koje standardna pravila nisu dovoljna.

    • Izvor: opennet.ru

Dodajte komentar