ProHoster > Blog > nouvèl sou entènèt > Sistèm deteksyon atak Suricata 5.0 disponib

Sistèm deteksyon atak Suricata 5.0 disponib

Òganizasyon OISF (Open Information Security Foundation) pibliye lage sistèm deteksyon ak prevansyon entrizyon rezo a Meerkat 5.0, ki bay yon mwayen pou enspekte plizyè kalite trafik. Nan konfigirasyon Suricata, li akseptab pou itilize baz siyati, devlope pa pwojè a Snort, osi byen ke seri règ Menas Emerging yo и Menas Emerging Pro. Kòd sous pwojè a gaye lisansye anba GPLv2.

Chanjman prensipal yo:

  • Entwodwi nouvo modil analiz ak antre pou pwotokòl
    RDP, SNMP ak SIP ekri nan Rust. Kapasite pou konekte atravè subsistèm EVE, ki bay pwodiksyon evènman yo nan fòma JSON, te ajoute nan modil analiz FTP la;

  • Anplis de sipò pou metòd otantifikasyon kliyan JA3 TLS ki te prezante nan vèsyon anvan an, sipò pou metòd la. JA3S, pèmèt baze sou spesifik yo nan negosyasyon koneksyon ak paramèt yo espesifye, detèmine ki lojisyèl yo itilize pou etabli yon koneksyon (pa egzanp, li pèmèt ou detèmine itilizasyon Tor ak lòt aplikasyon tipik). JA3 fè li posib yo defini kliyan, ak JA3S - sèvè. Rezilta yo nan detèminasyon an ka itilize nan lang nan mete règ ak nan mòso bwa yo;
  • Te ajoute kapasite eksperimantal pou matche ak yon echantiyon nan seri done gwo, aplike lè l sèvi avèk nouvo operasyon dataset ak datarep. Pou egzanp, karakteristik nan aplikab pou chèche mask nan gwo lis nwa ak dè milyon de antre;
  • Mòd enspeksyon HTTP bay pwoteksyon konplè sou tout sitiyasyon ki dekri nan suite tès la HTTP Evader (pa egzanp, kouvri metòd yo itilize pou kache aktivite move nan trafik);
  • Zouti devlopman modil rouye yo te deplase soti nan opsyon nan karakteristik estanda obligatwa. Nan lavni an, li planifye pou elaji itilizasyon Rust nan baz kòd pwojè a epi piti piti ranplase modil ak analogue devlope nan Rust;
  • Motè deteksyon pwotokòl la te amelyore an tèm de presizyon ak manyen koule trafik asynchrone;
  • Yo te ajoute sipò nan jounal EVE pou yon nouvo kalite dosye, "anomaly", ki estoke evènman atipik yo detekte lè pake yo dekode. EVE te elaji tou ekspozisyon enfòmasyon sou VLAN ak koòdone kaptire trafik yo. Te ajoute opsyon pou sove tout headers HTTP nan EVE log http antre;
  • Responsab ki baze sou eBPF bay sipò pou mekanis pyès ki nan konpitè pou akselere kaptire pake. Akselerasyon kenkayri se kounye a limite a adaptè rezo Netronome, men pral byento parèt pou lòt ekipman;
  • Kòd reekri pou kaptire trafik lè l sèvi avèk fondasyon Netmap la. Te ajoute kapasite pou itilize karakteristik Netmap avanse tankou yon switch vityèl VALE;
  • Te ajoute sipò pou yon nouvo konplo definisyon mo kle pou Sticky Buffers. Nouvo konplo a defini nan fòma protocol.buffer, pou egzanp, pou entwospekte yon URI, mo kle a ta dwe "http.uri" olye pou yo "http_uri";
  • Tout kòd Python itilize yo teste pou konpatibilite ak
    Python3;

  • Yo sispann sipò pou achitekti Tilera, dns.log tèks, ak ansyen dosye files-json.log.

Karakteristik nan Suricata:

  • Sèvi ak yon fòma inifye pou montre rezilta validasyon yo inifye 2, tou itilize pa pwojè a Snort, ki pèmèt itilize nan zouti analiz estanda tankou barnyard2. Kapasite pou entegre ak pwodwi BASE, Snorby, Sguil ak SQueRT. Sipò pou pwodiksyon nan fòma PCAP;
  • Sipò pou deteksyon otomatik nan pwotokòl (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, elatriye), ki pèmèt ou opere nan règ yo sèlman pa kalite a pwotokòl, san referans a nimewo pò a (pa egzanp. , pou bloke trafik HTTP sou yon pò ki pa estanda). Dekodè pou HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ak SSH pwotokòl;
  • Yon sistèm analiz pwisan HTTP trafik ki itilize yon bibliyotèk espesyal HTP ki te kreye pa otè pwojè Mod_Security pou analize ak nòmalize trafik HTTP. Gen yon modil ki disponib pou kenbe yon jounal detaye sou transfè HTTP transpò piblik yo, se boutèy la sove nan yon fòma estanda
    Apache. Ekstraksyon ak verifikasyon dosye transfere atravè HTTP pwotokòl sipòte. Sipò pou analize kontni konprese. Kapasite pou idantifye pa URI, Cookie, headers, itilizatè-ajan, kò demann/repons;

  • Sipò pou divès entèfas pou entèsepte trafik, tankou NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Li posib pou analize dosye ki deja sove nan fòma PCAP;
  • Segondè pèfòmans, kapasite nan trete kouran jiska 10 gigabit / sec sou ekipman konvansyonèl yo.
  • Segondè pèfòmans mask matche motè ak seri gwo adrès IP. Sipò pou seleksyon kontni pa mask ak ekspresyon regilye. Separasyon fichye yo ak trafik, ki gen ladan idantifikasyon yo pa non, kalite oswa sòm chèk MD5.
  • Kapasite pou itilize varyab nan règ: ou ka sove enfòmasyon ki soti nan kouran an epi pita sèvi ak li nan lòt règ;
  • Sèvi ak fòma YAML nan dosye konfigirasyon, ki pèmèt ou kenbe vizibilite avèk fasilite nan pwosesis machin;
  • Sipò konplè IPv6;
  • Bati-an motè pou defragmantasyon otomatik ak reyaji nan pake, ki pèmèt asire pwosesis kòrèk nan kouran, kèlkeswa lòd la nan ki pake yo rive;
  • Sipò pou pwotokòl tinèl: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Sipò pou dekodaj pake: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, kri, SLL, VLAN;
  • Mòd anrejistreman pou kle ak sètifika ki parèt nan koneksyon TLS/SSL;
  • Kapasite pou ekri script Lua pou bay analiz avanse epi aplike karakteristik adisyonèl ki nesesè pou idantifye kalite trafik pou ki règ estanda yo pa ase.

    • Sous: opennet.ru

Add nouvo kòmantè