ProHoster > Օրագիր > ինտերնետ նորություններ > Suricata 6.0 ներխուժման հայտնաբերման համակարգի թողարկում

Suricata 6.0 ներխուժման հայտնաբերման համակարգի թողարկում

После года разработки организация OISF (Open Information Security Foundation) опубликовала ցանցի ներխուժման հայտնաբերման և կանխարգելման համակարգի թողարկում Մերկաթ 6.0, որն ապահովում է տարբեր տեսակի երթևեկության ստուգման գործիքներ։ Suricata կոնֆիգուրացիաներում հնարավոր է օգտագործել ստորագրության տվյալների բազաներ, մշակված Snort նախագծի կողմից, ինչպես նաև կանոնների հավաքածուներ Առաջացող սպառնալիքներ и Emerging Threats Pro. Ծրագրի աղբյուրները տարածվել լիցենզավորված GPLv2-ի համաձայն:

Խոշոր փոփոխություններ.

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (ՀԱՍՇ).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata-ի առանձնահատկությունները.

  • Օգտագործելով միասնական ձևաչափ՝ սկանավորման արդյունքները ցուցադրելու համար Միավորված 2, օգտագործվում է նաև Snort նախագծի կողմից, որը թույլ է տալիս օգտագործել ստանդարտ վերլուծության գործիքներ, ինչպիսիք են գոմ2. BASE, Snorby, Sguil և SQueRT արտադրանքների հետ ինտեգրվելու հնարավորություն։ PCAP ելքային աջակցություն;
  • Արձանագրությունների ավտոմատ հայտնաբերման աջակցություն (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB և այլն), որը թույլ է տալիս գործել կանոններով միայն ըստ արձանագրության տեսակի՝ առանց պորտի համարին հղում կատարելու (օրինակ՝ արգելափակել HTTP-ը: երթևեկություն ոչ ստանդարտ նավահանգստի վրա): HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP և SSH արձանագրությունների ապակոդավորիչների առկայությունը;
  • HTTP տրաֆիկի վերլուծության հզոր համակարգ, որն օգտագործում է Mod_Security նախագծի հեղինակի կողմից ստեղծված հատուկ HTP գրադարան՝ HTTP տրաֆիկը վերլուծելու և նորմալացնելու համար: Հասանելի է մոդուլ՝ տարանցիկ HTTP փոխանցումների մանրամասն մատյան պահելու համար, գրանցամատյանը պահպանվում է ստանդարտ ձևաչափով
    Ապաչի. Աջակցվում է HTTP-ի միջոցով փոխանցված ֆայլերի առբերումը և ստուգումը: Աջակցություն սեղմված բովանդակության վերլուծության համար: URI-ի, Cookie-ի, վերնագրերի, օգտագործող-գործակալի, հարցում/պատասխան մարմնի կողմից նույնականացնելու ունակություն;

  • Աջակցություն երթևեկության գաղտնալսման տարբեր ինտերֆեյսներին, ներառյալ NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING: Հնարավոր է վերլուծել արդեն պահպանված ֆայլերը PCAP ձևաչափով;
  • Բարձր կատարողականություն, սովորական սարքավորումների վրա մինչև 10 գիգաբիթ/վրկ հոսքեր մշակելու ունակություն:
  • Բարձր արդյունավետությամբ դիմակի համապատասխան մեխանիզմ IP հասցեների մեծ հավաքածուների համար: Աջակցություն դիմակով և կանոնավոր արտահայտություններով բովանդակություն ընտրելու համար: Ֆայլերի մեկուսացում տրաֆիկից, ներառյալ դրանց նույնականացումը ըստ անվանման, տեսակի կամ MD5 ստուգիչ գումարի:
  • Կանոններում փոփոխականներ օգտագործելու ունակություն. դուք կարող եք պահպանել տեղեկատվություն հոսքից և հետագայում օգտագործել այն այլ կանոններում;
  • YAML ձևաչափի օգտագործումը կազմաձևման ֆայլերում, որը թույլ է տալիս պահպանել հստակություն՝ միաժամանակ հեշտ մշակվող մեքենայով.
  • Ամբողջական IPv6 աջակցություն;
  • Ներկառուցված շարժիչ՝ փաթեթների ավտոմատ ապաֆրագմենտացիայի և վերահավաքման համար, որը թույլ է տալիս ճիշտ մշակել հոսքերը՝ անկախ փաթեթների ժամանման հաջորդականությունից.
  • Աջակցություն թունելային արձանագրություններին. Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Փաթեթների վերծանման աջակցություն՝ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL կապերում հայտնվող բանալիների և վկայագրերի գրանցման ռեժիմ;
  • Լուա լեզվով սկրիպտներ գրելու ունակություն՝ առաջադեմ վերլուծություն տրամադրելու և լրացուցիչ հնարավորություններ իրականացնելու համար, որոնք անհրաժեշտ են երթևեկության տեսակները բացահայտելու համար, որոնց համար ստանդարտ կանոնները բավարար չեն:

Source: opennet.ru

Добавить комментарий