ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Rilis sistem deteksi intrusi Suricata 6.0

Rilis sistem deteksi intrusi Suricata 6.0

Sawise setahun pembangunan, organisasi OISF (Open Information Security Foundation). diterbitake ngeculake sistem deteksi lan pencegahan intrusi jaringan Meerkat 6.0, sing nyedhiyakake alat kanggo mriksa macem-macem jinis lalu lintas. Ing konfigurasi Suricata bisa digunakake database teken, dikembangake dening proyek Snort, uga set aturan Ancaman Muncul ΠΈ Muncul Ancaman Pro. Sumber proyek Penyebaran dilisensi ing GPLv2.

Owah-owahan utama:

  • Dhukungan awal kanggo HTTP/2.
  • Dhukungan kanggo protokol RFB lan MQTT, kalebu kemampuan kanggo nemtokake protokol lan njaga log.
  • Kemungkinan logging kanggo protokol DCERPC.
  • Peningkatan sing signifikan ing kinerja logging liwat subsistem EVE, sing nyedhiyakake output acara ing format JSON. Akselerasi kasebut digayuh amarga nggunakake pembangun saham JSON anyar sing ditulis ing basa Rust.
  • Skalabilitas sistem log EVE wis tambah lan kemampuan kanggo njaga file log sing kapisah kanggo saben thread wis dileksanakake.
  • Kemampuan kanggo nemtokake kahanan kanggo ngreset informasi menyang log.
  • Kamungkinan nggambarake alamat MAC ing log EVE lan nambah rincian log DNS.
  • Ngapikake kinerja mesin aliran.
  • Dhukungan kanggo ngenali implementasi SSH (HASSH).
  • Implementasi dekoder terowongan GENEVE.
  • Kode kanggo pangolahan wis ditulis maneh ing basa Rust ASN.1, DCERPC lan SSH. Rust uga ndhukung protokol anyar.
  • Ing basa definisi aturan, dhukungan kanggo parameter from_end wis ditambahake menyang kata kunci byte_jump, lan dhukungan kanggo parameter bitmask wis ditambahake menyang byte_test. Ngleksanakake tembung kunci pcrexform kanggo ngidini ekspresi reguler (pcre) digunakake kanggo njupuk substring. Ditambahake konversi urldecode. Kata kunci byte_math ditambahake.
  • Nyedhiyakake kemampuan kanggo nggunakake cbindgen kanggo ngasilake bindings ing Rust lan basa C.
  • Ditambahake dhukungan plugin dhisikan.

Fitur saka Suricata:

  • Nggunakake format terpadu kanggo nampilake asil scan Manunggal2, uga digunakake dening proyek Snort, sing ngidini nggunakake alat analisis standar kayata lumbung2. Kamungkinan integrasi karo produk BASE, Snorby, Sguil lan SQueRT. Dhukungan output PCAP;
  • Dhukungan kanggo deteksi otomatis protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), ngijini sampeyan kanggo operate ing aturan mung dening jinis protokol, tanpa referensi kanggo nomer port (contone, mblokir HTTP). lalu lintas ing port non-standar). Kasedhiyan dekoder kanggo protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP lan SSH;
  • Sistem analisis lalu lintas HTTP sing kuat sing nggunakake perpustakaan HTP khusus sing digawe dening penulis proyek Mod_Security kanggo ngurai lan normalake lalu lintas HTTP. Modul kasedhiya kanggo njaga log rinci transfer HTTP transit; log kasebut disimpen ing format standar
    Apache. Njupuk lan mriksa file sing dikirim liwat HTTP didhukung. Dhukungan kanggo parsing konten sing dikompres. Kemampuan kanggo ngenali dening URI, Cookie, header, user-agen, request / awak respon;

  • Dhukungan kanggo macem-macem antarmuka kanggo interception lalu lintas, kalebu NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Sampeyan bisa nganalisa file sing wis disimpen ing format PCAP;
  • Kinerja dhuwur, kemampuan kanggo ngolah nganti 10 gigabits / detik ing peralatan konvensional.
  • Mekanisme pencocokan topeng kinerja dhuwur kanggo alamat IP sing akeh. Dhukungan kanggo milih konten kanthi topeng lan ekspresi reguler. Ngisolasi file saka lalu lintas, kalebu identifikasi kanthi jeneng, jinis utawa checksum MD5.
  • Kemampuan kanggo nggunakake variabel ing aturan: sampeyan bisa nyimpen informasi saka stream lan mengko nggunakake ing aturan liyane;
  • Panganggone format YAML ing file konfigurasi, sing ngidini sampeyan njaga kajelasan nalika gampang diproses mesin;
  • Dhukungan IPv6 lengkap;
  • Mesin sing dibangun kanggo defragmentasi otomatis lan reassembly saka paket, ngidini kanggo proses bener saka lepen, preduli saka urutan kang paket teka;
  • Dhukungan kanggo protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Dukungan decoding paket: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode kanggo kunci log lan sertifikat sing katon ing sambungan TLS/SSL;
  • Kemampuan kanggo nulis skrip ing Lua kanggo nyedhiyakake analisis lanjut lan ngleksanakake kemampuan tambahan sing dibutuhake kanggo ngenali jinis lalu lintas sing aturan standar ora cukup.

Source: opennet.ru

Add a comment