Umferðargreiningar- og netinnbrotsgreiningarkerfið Zeek 8.0.0, sem áður var dreift undir nafninu Bro, hefur verið gefið út. Zeek er umferðargreiningarvettvangur sem einbeitir sér fyrst og fremst að því að rekja öryggistengda atburði, en takmarkast ekki við þetta forrit. Kerfiskóðinn er skrifaður í C++ og er dreift undir BSD leyfinu.
Pallurinn býður upp á einingar til að greina og greina ýmsar netsamskiptareglur á forritastigi sem taka mið af stöðu tengingarinnar og gera kleift að búa til ítarlega skrá (skjalasafn) yfir netvirkni. Boðið er upp á lénsbundið tungumál til að skrifa eftirlitssviðsmyndir og greina frávik, með hliðsjón af sérkennum tiltekinna innviða. Kerfið er fínstillt fyrir notkun í netum með mikla bandbreidd. Forritaskil (API) er í boði fyrir samþættingu við upplýsingakerfi þriðja aðila og rauntíma gagnaskipti.
Í nýju tölublaði Zeek:
- Bætt við möguleikanum á að stilla auðkenni netflæðis í gegnum viðbætur. Til að forðast árekstra við skiptingu flæðis í flóknum netum, auk þess að IP-tölur, portnúmer og samskiptareglur geta nú tekið tillit til viðbótarsamhengis, svo sem VLAN-merkja eða innfelldra umferðarauðkenna fyrir VXLAN og Geneve.
- Nýja klasabakgrunnurinn, byggður á ZeroMQ, sem skilgreinir aðferðina við samskipti milli klasahnúta og gagnaröðunarsniðið, hefur verið tilbúinn til notkunar í framleiðslukerfum. Broker-bakgrunnurinn er áfram notaður sjálfgefið, en í framtíðinni er áætlað að skipta yfir í sjálfgefna ZeroMQ-bakgrunninn, sem gerir þér kleift að vera án umboðsmanns þegar útsendingarskilaboðum er dreift á milli hnúta. Söfnun fjarmælinga um klasastarfsemi hefur verið einfölduð, sem gerir þér kleift að fylgjast með álagi á hnúta, óháð því hvaða bakgrunnur er notaður.
- Bætti við þáttara fyrir Redis DBMS samskiptareglurnar og sá um skráningu á hleruðum aðgerðum.
- SMTP greiningartækið styður útdrátt tölvupósts (RFC 822) úr umferð og sendingu þeirra til skráargreiningartækisins, sem hægt er að nota til að vista hleraðan tölvupóst á diski sem skrár á .eml sniði.
- Bætt við stuðningi fyrir AUTH TLS viðbótina í FTP greiningarforritinu.
- DNS greiningartækið þekkir nú NAPTR færslur.
- PPPoE greiningartækið getur nú birt lotuauðkenni.
- Í stað aðskildra logs analyzer.log og dpd.log er notað sameiginlegt log analyzer.log.
- Samskiptareglu- og skráargreiningarframleiðandinn hefur verið uppfærður í Spicy 1.14, sem kynnir nýjar hagræðingar og fjarlægir ónotaðar fallbreytur.
- Nú er hægt að breyta sniði skráningar með því að nota logschema pakkann (til dæmis er hægt að nota JSON eða CSV í stað hefðbundinna textaskráninga).
- Til að smíða verkefni þarf nú þýðanda sem styður C++20 staðalinn. Lágmarks studdar útgáfur eru GCC 10, Clang 8 og Visual Studio 2022.
Að auki má nefna útgáfu á Nmap 7.98 netöryggisskannanum, sem er hannaður til að endurskoða netið og bera kennsl á virkar netþjónustur. Verkefnakóðinn er veittur undir NPSL (Nmap Public Source License), byggt á GPLv2 leyfinu, sem er bætt við með ráðleggingum (ekki kröfum) um notkun OEM leyfisveitingarforritsins og kaup á viðskiptaleyfi ef framleiðandinn vill ekki opna kóða vöru sinnar í samræmi við kröfur höfundarréttarleyfisins eða hyggst samþætta Nmap í vörur sem eru ekki samhæfðar GPL.
Nmap 7.98 inniheldur aðallega villuleiðréttingar. Til dæmis hrynur þegar nmap er notað með sumum útgáfum. VPN-viðmót. Meðal virknibreytinga er athyglisvert að NSE-bindingar hafa verið bættar við fyrir notkun libssh2-föll í sjálfvirkum Nmap-skriftum. DNS-upplausnarinn hefur verið fínstilltur. Stuðningur við dulkóðanir sem notaðar eru í TLSv1.3, þar á meðal post-quantum dulkóðunarsvítur, hefur verið bætt við tls.lua bókasafnið. OpenSSL 3.0.17, Lua 5.4.8 og Npcap 1.83, sem eru notuð í lokaútgáfunum, hafa verið uppfærð.
Heimild: opennet.ru
