ProHoster > blog > berita internet > Peluncuran sistem deteksi intrusi Suricata 6.0

Peluncuran sistem deteksi intrusi Suricata 6.0

Setelah satu tahun pengembangan, organisasi OISF (Open Information Security Foundation). ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° rilis sistem deteksi dan pencegahan intrusi jaringan Meerkat 6.0 Memperbarui, yang menyediakan alat untuk memeriksa berbagai jenis lalu lintas. Dalam konfigurasi Suricata dimungkinkan untuk digunakan database tanda tangan, dikembangkan oleh proyek Snort, serta seperangkat aturan Ancaman yang Muncul ΠΈ Ancaman yang Muncul Pro. Sumber proyek sebaran berlisensi di bawah GPLv2.

Perubahan besar:

  • Dukungan awal untuk HTTP/2.
  • Dukungan untuk protokol RFB dan MQTT, termasuk kemampuan untuk menentukan protokol dan memelihara log.
  • Kemungkinan logging untuk protokol DCERPC.
  • Peningkatan signifikan dalam kinerja logging melalui subsistem EVE, yang menyediakan keluaran peristiwa dalam format JSON. Akselerasi ini dicapai berkat penggunaan pembuat stok JSON baru yang ditulis dalam bahasa Rust.
  • Skalabilitas sistem log EVE telah ditingkatkan dan kemampuan untuk memelihara file log terpisah untuk setiap thread telah diterapkan.
  • Kemampuan untuk menentukan kondisi untuk mengatur ulang informasi ke log.
  • Kemungkinan mencerminkan alamat MAC di log EVE dan meningkatkan detail log DNS.
  • Meningkatkan kinerja mesin aliran.
  • Dukungan untuk mengidentifikasi implementasi SSH (HASSH).
  • Implementasi dekoder terowongan GENEVE.
  • Kode untuk pemrosesan telah ditulis ulang dalam bahasa Rust ASN.1, DCERPC dan SSH. Rust juga mendukung protokol baru.
  • Dalam bahasa definisi aturan, dukungan untuk parameter from_end telah ditambahkan ke kata kunci byte_jump, dan dukungan untuk parameter bitmask telah ditambahkan ke byte_test. Menerapkan kata kunci pcrexform untuk memungkinkan ekspresi reguler (pcre) digunakan untuk menangkap substring. Menambahkan konversi urldecode. Menambahkan kata kunci byte_math.
  • Memberikan kemampuan untuk menggunakan cbindgen untuk menghasilkan binding dalam bahasa Rust dan C.
  • Menambahkan dukungan plugin awal.

Fitur Suricata:

  • Menggunakan format terpadu untuk menampilkan hasil pemindaian Terpadu2, juga digunakan oleh proyek Snort, yang memungkinkan penggunaan alat analisis standar seperti lumbung2. Kemungkinan integrasi dengan produk BASE, Snorby, Sguil dan SQueRT. dukungan keluaran PCAP;
  • Dukungan untuk deteksi otomatis protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, dll.), memungkinkan Anda untuk beroperasi sesuai aturan hanya berdasarkan jenis protokol, tanpa mengacu pada nomor port (misalnya, memblokir HTTP lalu lintas pada port non-standar) . Ketersediaan decoder untuk protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP dan SSH;
  • Sistem analisis lalu lintas HTTP yang kuat yang menggunakan perpustakaan HTP khusus yang dibuat oleh penulis proyek Mod_Security untuk mengurai dan menormalkan lalu lintas HTTP. Sebuah modul tersedia untuk memelihara log rinci transfer HTTP transit; log disimpan dalam format standar
    apache. Mengambil dan memeriksa file yang dikirimkan melalui HTTP didukung. Dukungan untuk mengurai konten terkompresi. Kemampuan untuk mengidentifikasi berdasarkan URI, Cookie, header, agen pengguna, badan permintaan/respons;

  • Dukungan untuk berbagai antarmuka untuk intersepsi lalu lintas, termasuk NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dimungkinkan untuk menganalisis file yang sudah disimpan dalam format PCAP;
  • Performa tinggi, kemampuan memproses aliran hingga 10 gigabit/detik pada peralatan konvensional.
  • Mekanisme pencocokan topeng berkinerja tinggi untuk kumpulan alamat IP yang besar. Dukungan untuk memilih konten berdasarkan topeng dan ekspresi reguler. Mengisolasi file dari lalu lintas, termasuk identifikasinya berdasarkan nama, jenis, atau checksum MD5.
  • Kemampuan untuk menggunakan variabel dalam aturan: Anda dapat menyimpan informasi dari aliran dan kemudian menggunakannya dalam aturan lain;
  • Penggunaan format YAML dalam file konfigurasi, yang memungkinkan Anda menjaga kejelasan sekaligus memudahkan proses mesin;
  • Dukungan penuh IPv6;
  • Mesin internal untuk defragmentasi otomatis dan perakitan kembali paket, memungkinkan pemrosesan aliran yang benar, terlepas dari urutan kedatangan paket;
  • Dukungan untuk protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Dukungan penguraian paket: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode untuk mencatat kunci dan sertifikat yang muncul dalam koneksi TLS/SSL;
  • Kemampuan untuk menulis skrip di Lua untuk memberikan analisis tingkat lanjut dan mengimplementasikan kemampuan tambahan yang diperlukan untuk mengidentifikasi jenis lalu lintas yang aturan standarnya tidak mencukupi.

Sumber: opennet.ru

Tambah komentar