Tersedia sistem deteksi serangan Suricata 5.0

Organisasi OISF (Yayasan Keamanan Informasi Terbuka) опубликовала rilis sistem deteksi dan pencegahan intrusi jaringan Meerkat 5.0 Memperbarui, yang menyediakan alat untuk memeriksa berbagai jenis lalu lintas. Dalam konfigurasi Suricata dimungkinkan untuk digunakan database tanda tangan, dikembangkan oleh proyek Snort, serta seperangkat aturan Ancaman yang Muncul и Ancaman yang Muncul Pro. Sumber proyek sebaran berlisensi di bawah GPLv2.

Perubahan besar:

• Modul baru untuk protokol parsing dan logging telah diperkenalkan
  RDP, SNMP dan SIP ditulis dalam Rust. Kemampuan untuk login melalui subsistem EVE telah ditambahkan ke modul parsing FTP, memberikan output acara dalam format JSON;

• Selain dukungan untuk metode identifikasi klien TLS JA3 yang muncul di rilis terakhir, dukungan untuk metode ini JA3S, memungkinkan Berdasarkan karakteristik negosiasi koneksi dan parameter yang ditentukan, tentukan perangkat lunak apa yang digunakan untuk membuat koneksi (misalnya, perangkat lunak ini memungkinkan Anda menentukan penggunaan Tor dan aplikasi standar lainnya). JA3 memungkinkan Anda menentukan klien, dan JA3S memungkinkan Anda menentukan server. Hasil penentuan dapat digunakan dalam bahasa pengaturan aturan dan log;
• Menambahkan kemampuan eksperimental untuk mencocokkan sampel dari kumpulan data besar, diimplementasikan menggunakan operasi baru kumpulan data dan dataep. Misalnya, fitur ini berlaku untuk mencari masker dalam daftar hitam besar yang berisi jutaan entri;
• Mode inspeksi HTTP memberikan cakupan penuh dari semua situasi yang dijelaskan dalam rangkaian pengujian Penghindar HTTP (misalnya, mencakup teknik yang digunakan untuk menyembunyikan aktivitas jahat di lalu lintas);
• Alat untuk mengembangkan modul dalam bahasa Rust telah ditransfer dari opsi ke kemampuan standar wajib. Di masa depan, direncanakan untuk memperluas penggunaan Rust dalam basis kode proyek dan secara bertahap mengganti modul dengan analog yang dikembangkan di Rust;
• Mesin definisi protokol telah ditingkatkan untuk meningkatkan akurasi dan menangani arus lalu lintas asinkron;
• Dukungan untuk jenis entri “anomali” baru telah ditambahkan ke log EVE, yang menyimpan peristiwa atipikal yang terdeteksi saat mendekode paket. EVE juga memperluas tampilan informasi tentang VLAN dan antarmuka penangkapan lalu lintas. Ditambahkan opsi untuk menyimpan semua header HTTP di entri log http EVE;
• Penangan berbasis eBPF memberikan dukungan untuk mekanisme perangkat keras untuk mempercepat penangkapan paket. Akselerasi perangkat keras saat ini terbatas pada adaptor jaringan Netronome, namun akan segera tersedia untuk peralatan lain;
• Kode untuk menangkap lalu lintas menggunakan kerangka Netmap telah ditulis ulang. Menambahkan kemampuan untuk menggunakan fitur Netmap tingkat lanjut seperti saklar virtual VALE;
• Ditambahkan dukungan untuk skema definisi kata kunci baru untuk Sticky Buffer. Skema baru didefinisikan dalam format “protocol.buffer”, misalnya, untuk memeriksa URI, kata kuncinya akan berbentuk “http.uri” dan bukan “http_uri”;
• Semua kode Python yang digunakan diuji kompatibilitasnya
  Piton 3;

• Dukungan untuk arsitektur Tilera, log teks dns.log, dan file log lama-json.log telah dihentikan.

Fitur Suricata:

• Menggunakan format terpadu untuk menampilkan hasil pemindaian Terpadu2, juga digunakan oleh proyek Snort, yang memungkinkan penggunaan alat analisis standar seperti lumbung2. Kemungkinan integrasi dengan produk BASE, Snorby, Sguil dan SQueRT. dukungan keluaran PCAP;
• Dukungan untuk deteksi otomatis protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, dll.), memungkinkan Anda untuk beroperasi sesuai aturan hanya berdasarkan jenis protokol, tanpa mengacu pada nomor port (misalnya, memblokir HTTP lalu lintas pada port non-standar) . Ketersediaan decoder untuk protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP dan SSH;
• Sistem analisis lalu lintas HTTP yang kuat yang menggunakan perpustakaan HTP khusus yang dibuat oleh penulis proyek Mod_Security untuk mengurai dan menormalkan lalu lintas HTTP. Sebuah modul tersedia untuk memelihara log rinci transfer HTTP transit; log disimpan dalam format standar
  apache. Mengambil dan memeriksa file yang dikirimkan melalui HTTP didukung. Dukungan untuk mengurai konten terkompresi. Kemampuan untuk mengidentifikasi berdasarkan URI, Cookie, header, agen pengguna, badan permintaan/respons;

• Dukungan untuk berbagai antarmuka untuk intersepsi lalu lintas, termasuk NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dimungkinkan untuk menganalisis file yang sudah disimpan dalam format PCAP;
• Performa tinggi, kemampuan memproses aliran hingga 10 gigabit/detik pada peralatan konvensional.
• Mekanisme pencocokan topeng berkinerja tinggi untuk kumpulan alamat IP yang besar. Dukungan untuk memilih konten berdasarkan topeng dan ekspresi reguler. Mengisolasi file dari lalu lintas, termasuk identifikasinya berdasarkan nama, jenis, atau checksum MD5.
• Kemampuan untuk menggunakan variabel dalam aturan: Anda dapat menyimpan informasi dari aliran dan kemudian menggunakannya dalam aturan lain;
• Penggunaan format YAML dalam file konfigurasi, yang memungkinkan Anda menjaga kejelasan sekaligus memudahkan proses mesin;
• Dukungan penuh IPv6;
• Mesin internal untuk defragmentasi otomatis dan perakitan kembali paket, memungkinkan pemrosesan aliran yang benar, terlepas dari urutan kedatangan paket;
• Dukungan untuk protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Dukungan penguraian paket: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• Mode untuk mencatat kunci dan sertifikat yang muncul dalam koneksi TLS/SSL;
• Kemampuan untuk menulis skrip di Lua untuk memberikan analisis tingkat lanjut dan mengimplementasikan kemampuan tambahan yang diperlukan untuk mengidentifikasi jenis lalu lintas yang aturan standarnya tidak mencukupi.

Sumber: opennet.ru