ProHoster > blog > notizie internet > Rilascio del sistema di rilevamento intrusioni Suricata 6.0

Rilascio del sistema di rilevamento intrusioni Suricata 6.0

Dopo un anno di sviluppo, l'organizzazione OISF (Open Information Security Foundation). pubblicato rilascio del sistema di rilevamento e prevenzione delle intrusioni in rete Meerkat 6.0, che fornisce uno strumento per ispezionare vari tipi di traffico. Nelle configurazioni Suricata, è consentito l'uso basi di firma, sviluppato dal progetto Snort, nonché una serie di regole Minacce emergenti и Minacce emergenti Pro. Codice sorgente del progetto diffusione concesso in licenza con GPLv2.

Principali modifiche:

  • Supporto iniziale per HTTP/2.
  • Supporto per i protocolli RFB e MQTT, inclusa la possibilità di definire il protocollo e mantenere un registro.
  • Possibilità di logging per il protocollo DCERPC.
  • Miglioramento significativo delle prestazioni di registrazione tramite il sottosistema EVE, che fornisce l'output degli eventi in formato JSON. L'accelerazione è stata ottenuta grazie all'utilizzo di un nuovo costruttore di azioni JSON scritto nel linguaggio Rust.
  • La scalabilità del sistema di log di EVE è stata aumentata ed è stata implementata la possibilità di mantenere un file di log separato per ogni thread.
  • Possibilità di definire le condizioni per reimpostare le informazioni nel registro.
  • Possibilità di riflettere gli indirizzi MAC nel registro EVE e aumentare il dettaglio del registro DNS.
  • Migliorare le prestazioni del motore di flusso.
  • Supporto per l'identificazione delle implementazioni SSH (HASH).
  • Implementazione del decodificatore del tunnel GENEVE.
  • Il codice per l'elaborazione è stato riscritto nel linguaggio Rust ASN.1, DCERPC e SSH. Rust supporta anche nuovi protocolli.
  • Nel linguaggio di definizione delle regole, il supporto per il parametro from_end è stato aggiunto alla parola chiave byte_jump e il supporto per il parametro bitmask è stato aggiunto a byte_test. Implementata la parola chiave pcrexform per consentire l'utilizzo delle espressioni regolari (pcre) per acquisire una sottostringa. Aggiunta la conversione del codice url. Aggiunta la parola chiave byte_math.
  • Fornisce la possibilità di utilizzare cbindgen per generare associazioni nei linguaggi Rust e C.
  • Aggiunto supporto plugin iniziale.

Caratteristiche di Suricata:

  • Utilizzo di un formato unificato per visualizzare i risultati della convalida Unificato2, utilizzato anche dal progetto Snort, consentendo l'uso di strumenti di analisi standard come aia2. Possibilità di integrazione con i prodotti BASE, Snorby, Sguil e SQueRT. Supporto per l'output in formato PCAP;
  • Supporto per il rilevamento automatico dei protocolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ecc.), che consente di operare nelle regole solo in base al tipo di protocollo, senza riferimento al numero di porta (ad esempio , per bloccare il traffico HTTP su una porta non standard). Decoder per protocolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
  • Un potente sistema di analisi del traffico HTTP che utilizza una speciale libreria HTP creata dall'autore del progetto Mod_Security per analizzare e normalizzare il traffico HTTP. È disponibile un modulo per mantenere un registro dettagliato dei trasferimenti HTTP in transito, il registro viene salvato in un formato standard
    Apache. Sono supportate l'estrazione e la verifica dei file trasferiti tramite il protocollo HTTP. Supporto per l'analisi di contenuti compressi. Capacità di identificazione tramite URI, cookie, intestazioni, user-agent, corpo della richiesta/risposta;

  • Supporto per varie interfacce per intercettare il traffico, tra cui NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. È possibile analizzare file già salvati in formato PCAP;
  • Prestazioni elevate, capacità di elaborare flussi fino a 10 gigabit / sec su apparecchiature convenzionali.
  • Motore di corrispondenza delle maschere ad alte prestazioni con grandi set di indirizzi IP. Supporto per la selezione dei contenuti tramite maschera ed espressioni regolari. Separazione dei file dal traffico, inclusa la loro identificazione per nome, tipo o checksum MD5.
  • Possibilità di utilizzare variabili nelle regole: puoi salvare le informazioni dallo stream e successivamente utilizzarle in altre regole;
  • Utilizzo del formato YAML nei file di configurazione, che permette di mantenere con facilità la visibilità dell'elaborazione della macchina;
  • Supporto IPv6 completo;
  • Motore integrato per la deframmentazione automatica e il riassemblaggio dei pacchetti, che consente di garantire la corretta elaborazione dei flussi, indipendentemente dall'ordine in cui arrivano i pacchetti;
  • Supporto per protocolli di tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Supporto per la decodifica dei pacchetti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modalità di registrazione per chiavi e certificati visualizzati all'interno delle connessioni TLS/SSL;
  • La capacità di scrivere script Lua per fornire analisi avanzate e implementare funzionalità aggiuntive necessarie per identificare i tipi di traffico per i quali le regole standard non sono sufficienti.

Fonte: opennet.ru

Aggiungi un commento