ProHoster > Blog > internetes hírek > A Suricata 6.0 behatolásérzékelő rendszer kiadása

A Suricata 6.0 behatolásérzékelő rendszer kiadása

После года разработки организация OISF (Open Information Security Foundation) közzétett hálózati behatolásjelző és -megelőzési rendszer kiadása Meerkat 6.0, amely eszközöket biztosít a különböző típusú forgalom ellenőrzéséhez. Suricata konfigurációkban lehetséges használni aláírási adatbázisok, amelyet a Snort projekt fejlesztett ki, valamint a szabályokat Felmerülő fenyegetések и Emerging Threats Pro. A projekt forrásai terjedés GPLv2 licenccel.

Nagy változások:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

A Suricata jellemzői:

  • Egységesített formátum használata a szkennelési eredmények megjelenítéséhez Egységes2, amelyet a Snort projekt is használ, amely lehetővé teszi olyan szabványos elemző eszközök használatát, mint pl barnyard2. Integrációs lehetőség BASE, Snorby, Sguil és SQueRT termékekkel. PCAP kimenet támogatás;
  • Protokollok automatikus észlelésének támogatása (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB stb.), lehetővé téve, hogy a szabályokban csak protokolltípusonként működjön, a portszámra való hivatkozás nélkül (például blokkolja a HTTP-t forgalom nem szabványos porton) . Dekóderek elérhetősége HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP és SSH protokollokhoz;
  • Erőteljes HTTP forgalomelemző rendszer, amely a Mod_Security projekt szerzője által létrehozott speciális HTP-könyvtárat használ a HTTP-forgalom elemzésére és normalizálására. Rendelkezésre áll egy modul a tranzit HTTP átvitelek részletes naplózásához; a napló mentése szabványos formátumban történik
    Apache. A HTTP-n keresztül továbbított fájlok visszakeresése és ellenőrzése támogatott. Támogatja a tömörített tartalom elemzését. Azonosítás képessége URI, Cookie, fejlécek, felhasználói ügynök, kérés/válasz törzs alapján;

  • Különféle interfészek támogatása a forgalom elfogására, beleértve az NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Lehetőség van PCAP formátumban már elmentett fájlok elemzésére;
  • Nagy teljesítmény, akár 10 gigabit/sec folyam feldolgozhatósága hagyományos berendezéseken.
  • Nagy teljesítményű maszkillesztő mechanizmus nagy számú IP-címhez. Támogatás a tartalom kiválasztásához maszk és reguláris kifejezések alapján. Fájlok elkülönítése a forgalomtól, beleértve azok azonosítását név, típus vagy MD5 ellenőrző összeg alapján.
  • Változók használatának lehetősége a szabályokban: elmentheti az információkat egy adatfolyamból, és később felhasználhatja más szabályokban;
  • A YAML formátum használata a konfigurációs fájlokban, amely lehetővé teszi a tisztaság megőrzését, miközben könnyen feldolgozható;
  • Teljes IPv6 támogatás;
  • Beépített motor a csomagok automatikus töredezettségmentesítéséhez és újraösszeállításához, amely lehetővé teszi a folyamok helyes feldolgozását, függetlenül a csomagok érkezési sorrendjétől;
  • Alagútkezelési protokollok támogatása: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Csomagdekódolás támogatása: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mód a TLS/SSL kapcsolatokon belül megjelenő kulcsok és tanúsítványok naplózására;
  • Lehetőség szkriptek írására Lua-ban, hogy fejlett elemzést végezzenek, és olyan forgalomtípusok azonosításához szükséges további képességek valósuljanak meg, amelyekhez a szabványos szabályok nem elegendőek.

Forrás: opennet.ru

Hozzászólás