ProHoster > Blog > netfréttir > Suricata 5.0 árásarskynjunarkerfi í boði

Suricata 5.0 árásarskynjunarkerfi í boði

OISF (Open Information Security Foundation) опубликовала losun á uppgötvunar- og varnarkerfi fyrir innbrot netkerfis Meerkat 5.0, sem veitir verkfæri til að skoða ýmsar tegundir umferðar. Í Suricata stillingum er hægt að nota undirskriftagagnagrunna, þróað af Snort verkefninu, auk reglna Vaxandi ógnir и Emerging Threats Pro. Verkefnisheimildir dreifing leyfi samkvæmt GPLv2.

Helstu breytingar:

  • Nýjar einingar fyrir þáttun og skráningu samskiptareglur hafa verið kynntar
    RDP, SNMP og SIP skrifað í Rust. Möguleikinn á að skrá þig í gegnum EVE undirkerfið hefur verið bætt við FTP þáttunareininguna, sem gefur viðburðaúttak á JSON sniði;

  • Til viðbótar við stuðning við JA3 TLS auðkenningaraðferð viðskiptavinar sem birtist í síðustu útgáfu, stuðningur við aðferðina JA3S, leyfa Byggt á eiginleikum samningaviðræðna um tengingar og tilgreindum breytum, ákvarða hvaða hugbúnaður er notaður til að koma á tengingu (til dæmis gerir það þér kleift að ákvarða notkun Tor og annarra staðlaðra forrita). JA3 gerir þér kleift að skilgreina viðskiptavini og JA3S gerir þér kleift að skilgreina netþjóna. Niðurstöður ákvörðunarinnar er hægt að nota í reglustillingarmálinu og í annálum;
  • Bætti við tilraunagetu til að passa við sýni úr stórum gagnasöfnum, útfærð með nýjum aðgerðum gagnapakka og dataarep. Til dæmis á aðgerðin við að leita að grímum á stórum svörtum listum sem innihalda milljónir færslur;
  • HTTP skoðunarhamur veitir fulla umfjöllun um allar aðstæður sem lýst er í prófunarsvítunni HTTP undanskotinn (td nær yfir aðferðir sem notaðar eru til að fela skaðsemi í umferðinni);
  • Verkfæri til að þróa einingar á Rust tungumálinu hafa verið flutt úr valkostum yfir í lögboðna staðlaða eiginleika. Í framtíðinni er fyrirhugað að auka notkun Rust í verkefnakóðagrunninum og skipta smám saman út einingum fyrir hliðstæður þróaðar í Rust;
  • Samskiptaskilgreiningarvélin hefur verið endurbætt til að bæta nákvæmni og takast á við ósamstillt umferðarflæði;
  • Stuðningur fyrir nýja „frávik“ færslutegund hefur verið bætt við EVE log, sem geymir óhefðbundna atburði sem uppgötvast við afkóðun pakka. EVE hefur einnig stækkað birtingu upplýsinga um VLAN og umferðarfangaviðmót. Bætt við valmöguleika til að vista alla HTTP hausa í EVE http log færslum;
  • eBPF-undirstaða meðferðaraðilar veita stuðning við vélbúnaðarkerfi til að flýta fyrir pakkatöku. Vélbúnaðarhröðun er eins og er takmörkuð við Netronome netmillistykki, en verður fljótlega fáanleg fyrir annan búnað;
  • Kóðinn til að fanga umferð með Netmap ramma hefur verið endurskrifaður. Bætti við möguleikanum á að nota háþróaða Netmap eiginleika eins og sýndarrofa VALE;
  • Bætt við stuðningur við nýtt skilgreiningarkerfi leitarorða fyrir Sticky Buffers. Nýja kerfið er skilgreint á „protocol.buffer“ sniðinu, til dæmis, til að skoða URI, mun leitarorðið hafa formið „http.uri“ í stað „http_uri“;
  • Allur Python kóða sem notaður er er prófaður fyrir samhæfni við
    Python3;

  • Stuðningur við Tilera arkitektúrinn, textaskrána dns.log og gömlu log files-json.log hefur verið hætt.

Eiginleikar Suricata:

  • Notaðu sameinað snið til að birta skannaniðurstöður Sameinað 2, einnig notað af Snort verkefninu, sem gerir kleift að nota stöðluð greiningartæki eins og hlöðugarður 2. Möguleiki á samþættingu við BASE, Snorby, Sguil og SQueRT vörur. PCAP framleiðsla stuðningur;
  • Stuðningur við sjálfvirka uppgötvun á samskiptareglum (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, osfrv.), sem gerir þér kleift að starfa í reglum eingöngu eftir samskiptategund, án tilvísunar í gáttarnúmerið (til dæmis, loka HTTP umferð á óhefðbundinni höfn). Framboð á afkóðarum fyrir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH samskiptareglur;
  • Öflugt HTTP umferðargreiningarkerfi sem notar sérstakt HTP bókasafn búið til af höfundi Mod_Security verkefnisins til að flokka og staðla HTTP umferð. Eining er fáanleg til að halda ítarlegri skrá yfir HTTP-flutningsflutninga; skráin er vistuð á stöðluðu sniði
    Apache. Stuðningur er við að sækja og athuga skrár sem sendar eru í gegnum HTTP. Stuðningur við að flokka þjappað efni. Geta til að bera kennsl á með URI, vafraköku, hausum, notandaumboðsmanni, beiðni/svörunarhluta;

  • Stuðningur við ýmis tengi fyrir umferðarhlerun, þar á meðal NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Það er hægt að greina þegar vistaðar skrár á PCAP sniði;
  • Mikil afköst, getu til að vinna flæði allt að 10 gígabit/sek á hefðbundnum búnaði.
  • Afkastamikil grímusamsvörun fyrir stór sett af IP tölum. Stuðningur við að velja efni eftir grímu og reglulegum tjáningum. Að einangra skrár frá umferð, þar með talið auðkenningu þeirra með nafni, gerð eða MD5 eftirlitsummu.
  • Geta til að nota breytur í reglum: þú getur vistað upplýsingar úr straumi og notað þær síðar í öðrum reglum;
  • Notkun YAML sniðsins í stillingarskrám, sem gerir þér kleift að viðhalda skýrleika á meðan auðvelt er að vinna úr því;
  • Fullur IPv6 stuðningur;
  • Innbyggð vél fyrir sjálfvirka sundrun og samsetningu pakka, sem gerir kleift að vinna strauma á réttan hátt, óháð því í hvaða röð pakkar berast;
  • Stuðningur við samskiptareglur um jarðgangagerð: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Stuðningur við pakkaafkóðun: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Stilling til að skrá lykla og vottorð sem birtast innan TLS/SSL tenginga;
  • Hæfni til að skrifa forskriftir í Lua til að veita háþróaða greiningu og innleiða viðbótargetu sem þarf til að bera kennsl á tegundir umferðar sem staðlaðar reglur duga ekki fyrir.

    • Heimild: opennet.ru

Bæta við athugasemd