מערכת זיהוי התקפות Suricata 5.0 זמינה

ארגון OISF (Open Information Security Foundation) опубликовала שחרור מערכת זיהוי ומניעת חדירת רשת סוריקטה 5.0, המספק כלים לבדיקת סוגים שונים של תנועה. בתצורות Suricata אפשר להשתמש מסדי נתונים של חתימות, שפותח על ידי פרויקט Snort, כמו גם מערכות כללים איומים מתעוררים и Emerging Threats Pro. מקורות הפרויקט התפשטות מורשה תחת GPLv2.

שינויים עיקריים:

• הוצגו מודולים חדשים לפרוטוקולי ניתוח ורישום
  RDP, SNMP ו-SIP כתובים ב-Rust. היכולת להתחבר באמצעות תת-המערכת EVE נוספה למודול ניתוח ה-FTP, המספק פלט אירועים בפורמט JSON;

• בנוסף לתמיכה בשיטת זיהוי הלקוח JA3 TLS שהופיעה במהדורה האחרונה, תמיכה בשיטה JA3S, מְאַפשֶׁר בהתבסס על המאפיינים של משא ומתן על חיבור ופרמטרים שצוינו, קבע באיזו תוכנה נעשה שימוש ליצירת חיבור (לדוגמה, היא מאפשרת לך לקבוע את השימוש ב- Tor ויישומים סטנדרטיים אחרים). JA3 מאפשר לך להגדיר לקוחות, ו-JA3S מאפשר לך להגדיר שרתים. ניתן להשתמש בתוצאות הקביעה בשפת הגדרת הכללים וביומנים;
• נוספה יכולת ניסיונית להתאים דגימות ממערכי נתונים גדולים, המיושמת באמצעות פעולות חדשות מערך נתונים ו-datarep. לדוגמה, התכונה מתאימה לחיפוש מסכות ברשימות שחורות גדולות המכילות מיליוני ערכים;
• מצב בדיקת HTTP מספק כיסוי מלא של כל המצבים המתוארים בחבילת הבדיקה HTTP חומק (למשל, מכסה טכניקות המשמשות להסתרת פעילות זדונית בתנועה);
• כלים לפיתוח מודולים בשפת Rust הועברו מאפשרויות ליכולות סטנדרטיות חובה. בעתיד, מתוכנן להרחיב את השימוש ב-Rust בבסיס הקוד של הפרויקט ולהחליף בהדרגה מודולים באנלוגים שפותחו ב-Rust;
• מנוע הגדרת הפרוטוקול שופר כדי לשפר את הדיוק ולטפל בזרימות תעבורה אסינכרוניות;
• תמיכה בסוג כניסה חדש של "אנומליה" נוספה ליומן EVE, המאחסן אירועים לא טיפוסיים שזוהו בעת פענוח מנות. EVE גם הרחיבה את הצגת המידע על רשתות VLAN וממשקי לכידת תעבורה. נוספה אפשרות לשמור את כל כותרות ה-HTTP ברשומות EVE http ביומן;
• מטפלים מבוססי eBPF מספקים תמיכה במנגנוני חומרה להאצת לכידת מנות. האצת החומרה מוגבלת כרגע למתאמי רשת של Netronome, אך בקרוב תהיה זמינה לציוד אחר;
• הקוד ללכידת תעבורה באמצעות מסגרת Netmap נכתב מחדש. נוספה את היכולת להשתמש בתכונות מתקדמות של Netmap כגון מתג וירטואלי VALE;
• נוסף תמיכה בסכימת הגדרת מילות מפתח חדשה עבור Sticky Buffers. הסכימה החדשה מוגדרת בפורמט "protocol.buffer", לדוגמה, עבור בדיקת URI, מילת המפתח תקבל את הצורה "http.uri" במקום "http_uri";
• כל קוד Python בשימוש נבדק עבור תאימות עם
  פייתון 3;

• התמיכה בארכיטקטורת Tilera, יומן הטקסט dns.log וקובץ היומן הישנים-json.log הופסקה.

תכונות של Suricata:

• שימוש בפורמט מאוחד להצגת תוצאות סריקה מאוחד 2, משמש גם את פרויקט Snort, המאפשר שימוש בכלי ניתוח סטנדרטיים כגון חצר אסם2. אפשרות אינטגרציה עם מוצרי BASE, Snorby, Sguil ו-SQueRT. תמיכת פלט PCAP;
• תמיכה בזיהוי אוטומטי של פרוטוקולים (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB וכו'), המאפשרת לך לפעול בכללים רק לפי סוג פרוטוקול, ללא התייחסות למספר היציאה (לדוגמה, חסימת HTTP תעבורה ביציאה לא סטנדרטית). זמינות של מפענחים לפרוטוקולי HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ו-SSH;
• מערכת עוצמתית לניתוח תעבורת HTTP המשתמשת בספריית HTP מיוחדת שנוצרה על ידי המחבר של פרויקט Mod_Security כדי לנתח ולנרמל את תעבורת HTTP. מודול זמין לניהול יומן מפורט של העברות HTTP במעבר; היומן נשמר בפורמט סטנדרטי
  אפאצ'י. אחזור ובדיקת קבצים המועברים באמצעות HTTP נתמכים. תמיכה בניתוח תוכן דחוס. יכולת זיהוי לפי URI, Cookie, כותרות, משתמש-סוכן, גוף בקשה/תגובה;

• תמיכה בממשקים שונים ליירוט תעבורה, כולל NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. אפשר לנתח קבצים שכבר נשמרו בפורמט PCAP;
• ביצועים גבוהים, יכולת לעבד זרימות של עד 10 גיגה-ביט/שנייה בציוד רגיל.
• מנגנון התאמת מסכות בעל ביצועים גבוהים עבור קבוצות גדולות של כתובות IP. תמיכה בבחירת תוכן לפי מסיכה וביטויים רגולריים. בידוד קבצים מתעבורה, כולל זיהוים לפי שם, סוג או בדיקת MD5.
• יכולת שימוש במשתנים בכללים: ניתן לשמור מידע מזרם ובהמשך להשתמש בו בכללים אחרים;
• שימוש בפורמט YAML בקבצי תצורה, המאפשר לך לשמור על בהירות תוך קל לעיבוד;
• תמיכה מלאה ב-IPv6;
• מנוע מובנה לאיחוי והרכבה אוטומטית של מנות, המאפשר עיבוד נכון של זרמים, ללא קשר לסדר הגעת המנות;
• תמיכה בפרוטוקולי מנהור: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• תמיכה בפענוח מנות: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• מצב לרישום מפתחות ואישורים המופיעים בתוך חיבורי TLS/SSL;
• היכולת לכתוב סקריפטים ב-Lua כדי לספק ניתוח מתקדם וליישם יכולות נוספות הדרושות לזיהוי סוגי תעבורה שעבורם כללים סטנדרטיים אינם מספיקים.

מקור: OpenNet.ru