ProHoster > Blog > internetske vijesti > Izdanje Suricata 6.0 sustava za otkrivanje upada

Izdanje Suricata 6.0 sustava za otkrivanje upada

Nakon godinu dana razvoja, OISF (Open Information Security Foundation) organizacija опубликовала izdanje sustava za otkrivanje i sprječavanje upada u mrežu Meerkat 6.0, koji nudi alate za pregled raznih vrsta prometa. U Suricata konfiguracijama moguće je koristiti baze podataka potpisa, razvijen od strane projekta Snort, kao i skupova pravila Nove prijetnje и Emerging Threats Pro. Izvori projekta širenje licenciran pod GPLv2.

Velike promjene:

  • Početna podrška za HTTP/2.
  • Podrška za RFB i MQTT protokole, uključujući mogućnost definiranja protokola i vođenja dnevnika.
  • Mogućnost logovanja za DCERPC protokol.
  • Značajno poboljšanje performansi zapisivanja kroz podsustav EVE, koji pruža izlaz događaja u JSON formatu. Ubrzanje je postignuto zahvaljujući korištenju novog JSON stock buildera napisanog u jeziku Rust.
  • Povećana je skalabilnost EVE log sustava i implementirana je mogućnost održavanja zasebne datoteke dnevnika za svaku nit.
  • Mogućnost definiranja uvjeta za ponovno postavljanje informacija u zapisnik.
  • Sposobnost odražavanja MAC adresa u EVE dnevniku i povećanje detalja DNS dnevnika.
  • Poboljšanje performansi protočnog motora.
  • Podrška za prepoznavanje SSH implementacija (HAŠ).
  • Implementacija tunelskog dekodera GENEVE.
  • Kod za obradu je ponovno napisan u jeziku Rust ASN.1, DCERPC i SSH. Rust također podržava nove protokole.
  • U jeziku definicije pravila, podrška za parametar from_end dodana je ključnoj riječi byte_jump, a podrška za parametar bitmask dodana je u byte_test. Implementirana je ključna riječ pcrexform kako bi se omogućilo korištenje regularnih izraza (pcre) za snimanje podniza. Dodana konverzija urldecode. Dodana ključna riječ byte_math.
  • Pruža mogućnost korištenja cbindgen za generiranje povezivanja u Rust i C jezicima.
  • Dodana početna podrška za dodatke.

Značajke Suricata:

  • Korištenje objedinjenog formata za prikaz rezultata skeniranja Unificirano2, koji također koristi projekt Snort, koji omogućuje korištenje standardnih alata za analizu kao što su dvorište2. Mogućnost integracije s BASE, Snorby, Sguil i SQueRT proizvodima. podrška za PCAP izlaz;
  • Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućuje rad u pravilima samo prema vrsti protokola, bez pozivanja na broj priključka (na primjer, blokirajte HTTP promet na nestandardnoj luci) . Dostupnost dekodera za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
  • Snažan sustav za analizu HTTP prometa koji koristi posebnu HTP biblioteku koju je izradio autor projekta Mod_Security za analizu i normalizaciju HTTP prometa. Dostupan je modul za vođenje detaljne evidencije tranzitnih HTTP prijenosa; evidencija se sprema u standardnom formatu
    Apache. Podržano je dohvaćanje i provjera datoteka prenesenih putem HTTP-a. Podrška za raščlanjivanje komprimiranog sadržaja. Mogućnost identifikacije pomoću URI-ja, kolačića, zaglavlja, korisničkog agenta, tijela zahtjeva/odgovora;

  • Podrška za različita sučelja za presretanje prometa, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već spremljene datoteke u PCAP formatu;
  • Visoke performanse, sposobnost obrade protoka do 10 gigabita/s na konvencionalnoj opremi.
  • Mehanizam podudaranja maski visokih performansi za velike skupove IP adresa. Podrška za odabir sadržaja pomoću maske i regularnih izraza. Izoliranje datoteka od prometa, uključujući njihovu identifikaciju imenom, vrstom ili MD5 kontrolnim zbrojem.
  • Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
  • Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućuje da zadržite jasnoću dok je jednostavan za strojnu obradu;
  • Puna IPv6 podrška;
  • Ugrađeni mehanizam za automatsku defragmentaciju i ponovno sastavljanje paketa, omogućavajući ispravnu obradu tokova, bez obzira na redoslijed pristizanja paketa;
  • Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podrška za dekodiranje paketa: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način za bilježenje ključeva i certifikata koji se pojavljuju unutar TLS/SSL veza;
  • Sposobnost pisanja skripti u Lua za pružanje napredne analize i implementacije dodatnih mogućnosti potrebnih za prepoznavanje vrsta prometa za koje standardna pravila nisu dovoljna.

Izvor: opennet.ru

Dodajte komentar