שחרור מערכת זיהוי חדירה Suricata 6.0

לאחר שנה של פיתוח, ארגון OISF (Open Information Security Foundation). опубликовала שחרור מערכת זיהוי ומניעת חדירת רשת סוריקטה 6.0, המספק כלים לבדיקת סוגים שונים של תנועה. בתצורות Suricata אפשר להשתמש מסדי נתונים של חתימות, שפותח על ידי פרויקט Snort, כמו גם מערכות כללים איומים מתעוררים и Emerging Threats Pro. מקורות הפרויקט התפשטות מורשה תחת GPLv2.

שינויים עיקריים:

• תמיכה ראשונית ב-HTTP/2.
• תמיכה בפרוטוקולי RFB ו-MQTT, כולל היכולת להגדיר את הפרוטוקול ולשמור על יומן.
• אפשרות לרישום עבור פרוטוקול DCERPC.
• שיפור משמעותי בביצועי הרישום באמצעות תת-המערכת EVE, המספקת פלט אירועים בפורמט JSON. האצה הושגה הודות לשימוש בבונה מלאי JSON חדש שנכתב בשפת Rust.
• המדרגיות של מערכת היומן EVE הוגדלה והוטמעה היכולת לתחזק קובץ יומן נפרד עבור כל שרשור.
• יכולת להגדיר תנאים לאיפוס מידע ליומן.
• אפשרות לשקף כתובות MAC ביומן EVE והגדלת הפירוט של יומן ה-DNS.
• שיפור הביצועים של מנוע הזרימה.
• תמיכה בזיהוי יישומי SSH (HASSH).
• הטמעת מפענח המנהרות של GENEVE.
• הקוד לעיבוד שוכתב בשפת Rust ASN.1, DCERPC ו-SSH. Rust תומך גם בפרוטוקולים חדשים.
• בשפת הגדרת הכלל, נוספה תמיכה בפרמטר from_end למילת המפתח byte_jump, ותמיכה בפרמטר bitmask נוספה ל-byte_test. הטמיע את מילת המפתח pcrexform כדי לאפשר שימוש בביטויים רגולריים (pcre) כדי ללכוד מחרוזת משנה. נוספה המרת urldecode. נוספה מילת מפתח byte_math.
• מספק את היכולת להשתמש ב-cbindgen כדי ליצור כריכות בשפות Rust ו-C.
• נוספה תמיכה ראשונית בפלאגין.

תכונות של Suricata:

• שימוש בפורמט מאוחד להצגת תוצאות סריקה מאוחד 2, משמש גם את פרויקט Snort, המאפשר שימוש בכלי ניתוח סטנדרטיים כגון חצר אסם2. אפשרות אינטגרציה עם מוצרי BASE, Snorby, Sguil ו-SQueRT. תמיכת פלט PCAP;
• תמיכה בזיהוי אוטומטי של פרוטוקולים (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB וכו'), המאפשרת לך לפעול בכללים רק לפי סוג פרוטוקול, ללא התייחסות למספר היציאה (לדוגמה, חסימת HTTP תעבורה ביציאה לא סטנדרטית). זמינות של מפענחים לפרוטוקולי HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ו-SSH;
• מערכת עוצמתית לניתוח תעבורת HTTP המשתמשת בספריית HTP מיוחדת שנוצרה על ידי המחבר של פרויקט Mod_Security כדי לנתח ולנרמל את תעבורת HTTP. מודול זמין לניהול יומן מפורט של העברות HTTP במעבר; היומן נשמר בפורמט סטנדרטי
  אפאצ'י. אחזור ובדיקת קבצים המועברים באמצעות HTTP נתמכים. תמיכה בניתוח תוכן דחוס. יכולת זיהוי לפי URI, Cookie, כותרות, משתמש-סוכן, גוף בקשה/תגובה;

• תמיכה בממשקים שונים ליירוט תעבורה, כולל NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. אפשר לנתח קבצים שכבר נשמרו בפורמט PCAP;
• ביצועים גבוהים, יכולת לעבד זרימות של עד 10 גיגה-ביט/שנייה בציוד רגיל.
• מנגנון התאמת מסכות בעל ביצועים גבוהים עבור קבוצות גדולות של כתובות IP. תמיכה בבחירת תוכן לפי מסיכה וביטויים רגולריים. בידוד קבצים מתעבורה, כולל זיהוים לפי שם, סוג או בדיקת MD5.
• יכולת שימוש במשתנים בכללים: ניתן לשמור מידע מזרם ובהמשך להשתמש בו בכללים אחרים;
• שימוש בפורמט YAML בקבצי תצורה, המאפשר לך לשמור על בהירות תוך קל לעיבוד;
• תמיכה מלאה ב-IPv6;
• מנוע מובנה לאיחוי והרכבה אוטומטית של מנות, המאפשר עיבוד נכון של זרמים, ללא קשר לסדר הגעת המנות;
• תמיכה בפרוטוקולי מנהור: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• תמיכה בפענוח מנות: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• מצב לרישום מפתחות ואישורים המופיעים בתוך חיבורי TLS/SSL;
• היכולת לכתוב סקריפטים ב-Lua כדי לספק ניתוח מתקדם וליישם יכולות נוספות הדרושות לזיהוי סוגי תעבורה שעבורם כללים סטנדרטיים אינם מספיקים.

מקור: OpenNet.ru