Suricata 5.0 თავდასხმის აღმოჩენის სისტემა ხელმისაწვდომია

ორგანიზაცია OISF (ღია ინფორმაციის უსაფრთხოების ფონდი) опубликовала ქსელში შეჭრის აღმოჩენისა და პრევენციის სისტემის გამოშვება Meerkat 5.0, რომელიც უზრუნველყოფს ინსტრუმენტებს სხვადასხვა ტიპის ტრაფიკის შესამოწმებლად. Suricata-ს კონფიგურაციებში შესაძლებელია მისი გამოყენება ხელმოწერის მონაცემთა ბაზებიSnort პროექტის მიერ შემუშავებული, ასევე წესების ნაკრები გაჩენილი საფრთხეები и Emerging Threats Pro. პროექტის წყაროები გავრცელება ლიცენზირებული GPLv2-ით.

ძირითადი ცვლილებები:

• დაინერგა პროტოკოლების ანალიზისა და ლოგინგის ახალი მოდულები
  RDP, SNMP და SIP დაწერილი Rust-ში. FTP ანალიზების მოდულს ახლა აქვს შესვლის შესაძლებლობა EVE ქვესისტემის მეშვეობით, რომელიც უზრუნველყოფს მოვლენის გამოტანას JSON ფორმატში;

• JA3 TLS კლიენტის იდენტიფიკაციის მეთოდის მხარდაჭერის გარდა, რომელიც გამოჩნდა ბოლო გამოშვებაში, მეთოდის მხარდაჭერა JA3S, საშუალებას იძლევა კავშირის მოლაპარაკების მახასიათებლებზე და მითითებულ პარამეტრებზე დაყრდნობით, განსაზღვრეთ რა პროგრამული უზრუნველყოფა გამოიყენება კავშირის დასამყარებლად (მაგალითად, ის საშუალებას გაძლევთ განსაზღვროთ Tor-ის და სხვა სტანდარტული აპლიკაციების გამოყენება). JA3 საშუალებას გაძლევთ განსაზღვროთ კლიენტები, ხოლო JA3S საშუალებას გაძლევთ განსაზღვროთ სერვერები. განსაზღვრის შედეგები შეიძლება გამოყენებულ იქნას წესების დაყენების ენასა და ჟურნალებში;
• დამატებულია ექსპერიმენტული უნარი ნიმუშების შესატყვისი დიდი მონაცემთა ნაკრებიდან, განხორციელებული ახალი ოპერაციების გამოყენებით მონაცემთა ნაკრები და datarep. მაგალითად, ფუნქცია გამოიყენება ნიღბების მოსაძებნად დიდ შავ სიებში, რომლებიც შეიცავს მილიონობით ჩანაწერს;
• HTTP ინსპექტირების რეჟიმი უზრუნველყოფს ტესტის კომპლექტში აღწერილი ყველა სიტუაციის სრულ გაშუქებას HTTP Evader (მაგ. მოიცავს ტექნიკას, რომელიც გამოიყენება ტრაფიკში მავნე აქტივობის დასამალად);
• Rust ენაზე მოდულების შემუშავების ხელსაწყოები ოფციონებიდან გადავიდა სავალდებულო სტანდარტულ შესაძლებლობებზე. სამომავლოდ იგეგმება Rust-ის გამოყენების გაფართოება პროექტის კოდირების ბაზაში და ეტაპობრივი ჩანაცვლება Rust-ში შემუშავებული ანალოგებით;
• პროტოკოლის განსაზღვრის ძრავა გაუმჯობესდა სიზუსტის გასაუმჯობესებლად და ასინქრონული ტრაფიკის ნაკადების დასამუშავებლად;
• ახალი „ანომალიის“ შესვლის ტიპის მხარდაჭერა დაემატა EVE ჟურნალს, რომელიც ინახავს ატიპიურ მოვლენებს, რომლებიც აღმოჩენილია პაკეტების დეკოდირებისას. EVE-მ ასევე გააფართოვა ინფორმაციის ჩვენება VLAN-ების და ტრაფიკის დაჭერის ინტერფეისების შესახებ. დამატებულია ვარიანტი ყველა HTTP სათაურის შესანახად EVE http ჟურნალის ჩანაწერებში;
• eBPF-ზე დაფუძნებული დამმუშავებლები უზრუნველყოფენ ტექნიკის მექანიზმების მხარდაჭერას პაკეტის აღების დაჩქარების მიზნით. ტექნიკის აჩქარება ამჟამად შემოიფარგლება Netronome ქსელის გადამყვანებით, მაგრამ მალე ხელმისაწვდომი იქნება სხვა აღჭურვილობისთვის;
• Netmap ჩარჩოს გამოყენებით ტრაფიკის აღრიცხვის კოდი გადაწერილია. დამატებულია Netmap-ის მოწინავე ფუნქციების გამოყენების შესაძლებლობა, როგორიცაა ვირტუალური შეცვლა VALE;
• დამატებულია მხარდაჭერა ახალი საკვანძო სიტყვების განსაზღვრის სქემისთვის Sticky Buffers-ისთვის. ახალი სქემა განსაზღვრულია „პროტოკოლ.ბუფერი“ ფორმატში, მაგალითად, URI-ის შესამოწმებლად საკვანძო სიტყვა „http_uri“-ს ნაცვლად მიიღებს „http.uri“ ფორმას;
• ყველა გამოყენებული პითონის კოდი შემოწმებულია თავსებადობასთან
  პითონი 3;

• Tilera არქიტექტურის, ტექსტური ჟურნალის dns.log და ძველი log files-json.log მხარდაჭერა შეწყვეტილია.

Suricata-ს მახასიათებლები:

• სკანირების შედეგების საჩვენებლად ერთიანი ფორმატის გამოყენება ერთიანი2, ასევე გამოიყენება Snort პროექტის მიერ, რომელიც იძლევა სტანდარტული ანალიზის ხელსაწყოების გამოყენების საშუალებას, როგორიცაა ბეღელი2. BASE, Snorby, Sguil და SQueRT პროდუქტებთან ინტეგრაციის შესაძლებლობა. PCAP გამომავალი მხარდაჭერა;
• პროტოკოლების ავტომატური გამოვლენის მხარდაჭერა (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB და ა. მოძრაობა არასტანდარტულ პორტზე) . დეკოდერების ხელმისაწვდომობა HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP და SSH პროტოკოლებისთვის;
• ძლიერი HTTP ტრაფიკის ანალიზის სისტემა, რომელიც იყენებს Mod_Security პროექტის ავტორის მიერ შექმნილ სპეციალურ HTP ბიბლიოთეკას HTTP ტრაფიკის გასაანალიზებლად და ნორმალიზებისთვის. ხელმისაწვდომია მოდული ტრანზიტული HTTP გადარიცხვების დეტალური ჟურნალის შესანარჩუნებლად; ჟურნალი ინახება სტანდარტულ ფორმატში
  აპაჩი. HTTP-ით გადაცემული ფაილების მოძიება და შემოწმება მხარდაჭერილია. შეკუმშული შინაარსის ანალიზის მხარდაჭერა. იდენტიფიკაციის უნარი URI, Cookie, headers, user-agent, მოთხოვნა/პასუხის ორგანო;

• სხვადასხვა ინტერფეისების მხარდაჭერა ტრაფიკის ჩარევისთვის, მათ შორის NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. შესაძლებელია უკვე შენახული ფაილების ანალიზი PCAP ფორმატში;
• მაღალი წარმადობა, ნაკადების დამუშავების უნარი 10 გიგაბიტ/წმ-მდე ჩვეულებრივ აღჭურვილობაზე.
• მაღალი ხარისხის ნიღბის შესატყვისი მექანიზმი IP მისამართების დიდი ნაკრებისთვის. ნიღბისა და რეგულარული გამონათქვამების საშუალებით შინაარსის არჩევის მხარდაჭერა. ფაილების იზოლირება ტრაფიკიდან, მათ შორის მათი იდენტიფიკაცია სახელის, ტიპის ან MD5 საკონტროლო ჯამის მიხედვით.
• წესებში ცვლადების გამოყენების შესაძლებლობა: შეგიძლიათ შეინახოთ ინფორმაცია ნაკადიდან და მოგვიანებით გამოიყენოთ სხვა წესებში;
• YAML ფორმატის გამოყენება კონფიგურაციის ფაილებში, რაც საშუალებას გაძლევთ შეინარჩუნოთ სიცხადე, ხოლო დამუშავება მარტივია;
• სრული IPv6 მხარდაჭერა;
• ჩამონტაჟებული ძრავა პაკეტების ავტომატური დეფრაგმენტაციისა და ხელახალი აწყობისთვის, რაც იძლევა ნაკადების სწორად დამუშავების საშუალებას, მიუხედავად იმისა, თუ რა თანმიმდევრობით მოდის პაკეტები;
• გვირაბის პროტოკოლების მხარდაჭერა: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• პაკეტის დეკოდირების მხარდაჭერა: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• კლავიშებისა და სერთიფიკატების აღრიცხვის რეჟიმი, რომლებიც გამოჩნდება TLS/SSL კავშირებში;
• Lua-ში სკრიპტების დაწერის შესაძლებლობა, რათა უზრუნველყოს მოწინავე ანალიზი და განახორციელოს დამატებითი შესაძლებლობები, რომლებიც საჭიროა ტრაფიკის ტიპების იდენტიფიცირებისთვის, რომლებისთვისაც სტანდარტული წესები არ არის საკმარისი.

წყარო: opennet.ru