ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Sistem deteksi serangan Suricata 5.0 kasedhiya

Sistem deteksi serangan Suricata 5.0 kasedhiya

Organisasi OISF (Open Information Security Foundation) diterbitake ngeculake sistem deteksi lan pencegahan intrusi jaringan Meerkat 5.0, sing nyedhiyakake alat kanggo mriksa macem-macem jinis lalu lintas. Ing konfigurasi Suricata bisa digunakake database teken, dikembangake dening proyek Snort, uga set aturan Ancaman Muncul ΠΈ Muncul Ancaman Pro. Sumber proyek Penyebaran dilisensi ing GPLv2.

Owah-owahan utama:

  • Modul anyar kanggo parsing lan protokol logging wis dikenalake
    RDP, SNMP lan SIP ditulis ing Rust. Kemampuan kanggo mlebu liwat subsistem EVE wis ditambahake menyang modul parsing FTP, nyedhiyakake output acara ing format JSON;

  • Saliyane dhukungan kanggo metode identifikasi klien JA3 TLS sing katon ing rilis pungkasan, dhukungan kanggo metode kasebut JA3S, ngidini Adhedhasar karakteristik negosiasi sambungan lan paramΓ¨ter sing ditemtokake, nemtokake piranti lunak apa sing digunakake kanggo nggawe sambungan (contone, ngidini sampeyan nemtokake panggunaan Tor lan aplikasi standar liyane). JA3 ngidini sampeyan nemtokake klien, lan JA3S ngidini sampeyan nemtokake server. Asil tekad bisa digunakake ing basa setelan aturan lan ing log;
  • Nambahake kemampuan eksperimen kanggo cocog karo conto saka set data gedhe, dileksanakake nggunakake operasi anyar dataset lan datarep. Contone, fitur iki ditrapake kanggo nggoleki topeng ing daftar ireng gedhe sing ngemot mayuta-yuta entri;
  • Mode inspeksi HTTP nyedhiyakake jangkoan lengkap kabeh kahanan sing diterangake ing suite test HTTP Evader (contone, nyakup teknik sing digunakake kanggo ndhelikake kegiatan ala ing lalu lintas);
  • Piranti kanggo ngembangake modul ing basa Rust wis ditransfer saka opsi kanggo kapabilitas standar wajib. Ing mangsa ngarep, direncanakake kanggo nggedhekake panggunaan Rust ing basis kode proyek lan mboko sithik ngganti modul karo analog sing dikembangake ing Rust;
  • Mesin definisi protokol wis apik kanggo nambah akurasi lan nangani arus lalu lintas bedo;
  • Dhukungan kanggo jinis entri "anomali" anyar wis ditambahake ing log EVE, sing nyimpen acara atipikal sing dideteksi nalika dekoding paket. EVE uga wis nggedhekake tampilan informasi babagan VLAN lan antarmuka panangkepan lalu lintas. Opsi sing ditambahake kanggo nyimpen kabeh header HTTP ing entri log EVE http;
  • Handler basis eBPF nyedhiyakake dhukungan kanggo mekanisme hardware kanggo nyepetake panangkepan paket. Akselerasi hardware saiki diwatesi kanggo adaptor jaringan Netronome, nanging bakal kasedhiya kanggo peralatan liyane;
  • Kode kanggo njupuk lalu lintas nggunakake kerangka Netmap wis ditulis maneh. Nambahake kemampuan kanggo nggunakake fitur Netmap canggih kayata switch virtual Vale;
  • Ditambahake dhukungan kanggo skema definisi tembung kunci anyar kanggo Sticky Buffers. Skema anyar ditetepake ing format "protocol.buffer", contone, kanggo mriksa URI, tembung kunci bakal dadi "http.uri" tinimbang "http_uri";
  • Kabeh kode Python digunakake dites kanggo kompatibilitas karo
    Python3;

  • Dhukungan kanggo arsitektur Tilera, log teks dns.log lan file log lawas-json.log wis mandheg.

Fitur saka Suricata:

  • Nggunakake format terpadu kanggo nampilake asil scan Manunggal2, uga digunakake dening proyek Snort, sing ngidini nggunakake alat analisis standar kayata lumbung2. Kamungkinan integrasi karo produk BASE, Snorby, Sguil lan SQueRT. Dhukungan output PCAP;
  • Dhukungan kanggo deteksi otomatis protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), ngijini sampeyan kanggo operate ing aturan mung dening jinis protokol, tanpa referensi kanggo nomer port (contone, mblokir HTTP). lalu lintas ing port non-standar). Kasedhiyan dekoder kanggo protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP lan SSH;
  • Sistem analisis lalu lintas HTTP sing kuat sing nggunakake perpustakaan HTP khusus sing digawe dening penulis proyek Mod_Security kanggo ngurai lan normalake lalu lintas HTTP. Modul kasedhiya kanggo njaga log rinci transfer HTTP transit; log kasebut disimpen ing format standar
    Apache. Njupuk lan mriksa file sing dikirim liwat HTTP didhukung. Dhukungan kanggo parsing konten sing dikompres. Kemampuan kanggo ngenali dening URI, Cookie, header, user-agen, request / awak respon;

  • Dhukungan kanggo macem-macem antarmuka kanggo interception lalu lintas, kalebu NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Sampeyan bisa nganalisa file sing wis disimpen ing format PCAP;
  • Kinerja dhuwur, kemampuan kanggo ngolah nganti 10 gigabits / detik ing peralatan konvensional.
  • Mekanisme pencocokan topeng kinerja dhuwur kanggo alamat IP sing akeh. Dhukungan kanggo milih konten kanthi topeng lan ekspresi reguler. Ngisolasi file saka lalu lintas, kalebu identifikasi kanthi jeneng, jinis utawa checksum MD5.
  • Kemampuan kanggo nggunakake variabel ing aturan: sampeyan bisa nyimpen informasi saka stream lan mengko nggunakake ing aturan liyane;
  • Panganggone format YAML ing file konfigurasi, sing ngidini sampeyan njaga kajelasan nalika gampang diproses mesin;
  • Dhukungan IPv6 lengkap;
  • Mesin sing dibangun kanggo defragmentasi otomatis lan reassembly saka paket, ngidini kanggo proses bener saka lepen, preduli saka urutan kang paket teka;
  • Dhukungan kanggo protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Dukungan decoding paket: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode kanggo kunci log lan sertifikat sing katon ing sambungan TLS/SSL;
  • Kemampuan kanggo nulis skrip ing Lua kanggo nyedhiyakake analisis lanjut lan ngleksanakake kemampuan tambahan sing dibutuhake kanggo ngenali jinis lalu lintas sing aturan standar ora cukup.

    • Source: opennet.ru

Add a comment