🥇 Suricata 6.0 შეტევის აღმოჩენის სისტემის გამოშვება

ერთწლიანი განვითარების შემდეგ OISF (Open Information Security Foundation) ორგანიზაცია опубликовала ქსელში შეჭრის აღმოჩენისა და პრევენციის სისტემის გამოშვება Meerkat 6.0, რომელიც უზრუნველყოფს ინსტრუმენტებს სხვადასხვა ტიპის ტრაფიკის შესამოწმებლად. Suricata-ს კონფიგურაციებში შესაძლებელია მისი გამოყენება ხელმოწერის მონაცემთა ბაზებიSnort პროექტის მიერ შემუშავებული, ასევე წესების ნაკრები გაჩენილი საფრთხეები и Emerging Threats Pro. პროექტის წყაროები გავრცელება ლიცენზირებული GPLv2-ით.

ძირითადი ცვლილებები:

საწყისი მხარდაჭერა HTTP/2-ისთვის.
RFB და MQTT პროტოკოლების მხარდაჭერა, პროტოკოლის განსაზღვრისა და ჟურნალის შენარჩუნების შესაძლებლობის ჩათვლით.
DCERPC პროტოკოლისთვის შესვლის შესაძლებლობა.
შესვლა შესამჩნევი გაუმჯობესებაა EVE ქვესისტემის მეშვეობით, რომელიც უზრუნველყოფს მოვლენის გამოტანას JSON ფორმატში. აჩქარება მიღწეული იქნა Rust ენაზე დაწერილი ახალი JSON საფონდო შემქმნელის გამოყენების წყალობით.
გაზრდილია EVE log სისტემის მასშტაბურობა და დანერგილია თითოეული ძაფისთვის ცალკე ჟურნალის ფაილის შენახვის შესაძლებლობა.
ინფორმაციის ჟურნალში გადატვირთვის პირობების განსაზღვრის შესაძლებლობა.
MAC მისამართების EVE ჟურნალში ასახვის და DNS ჟურნალის დეტალების გაზრდის შესაძლებლობა.
დინების ძრავის მუშაობის გაუმჯობესება.
SSH განხორციელებების იდენტიფიკაციის მხარდაჭერა (HASSH).
GENEVE გვირაბის დეკოდერის დანერგვა.
დამუშავების კოდი გადაწერილია Rust ენაზე ASN.1, DCERPC და SSH. Rust ასევე მხარს უჭერს ახალ პროტოკოლებს.
წესების განსაზღვრის ენაში, from_end პარამეტრის მხარდაჭერა დაემატა byte_jump საკვანძო სიტყვას, ხოლო bitmask პარამეტრის მხარდაჭერა დაემატა byte_test-ს. დანერგილია pcrexform საკვანძო სიტყვა, რათა დაუშვას რეგულარული გამონათქვამები (pcre) ქვესტრინგის დასაჭერად. დამატებულია urldcode კონვერტაცია. დამატებულია byte_math საკვანძო სიტყვა.
უზრუნველყოფს cbindgen-ის გამოყენების შესაძლებლობას Rust და C ენებზე აკინძების გენერირებისთვის.
დამატებულია საწყისი მოდულის მხარდაჭერა.

Suricata-ს მახასიათებლები:

სკანირების შედეგების საჩვენებლად ერთიანი ფორმატის გამოყენება ერთიანი2, ასევე გამოიყენება Snort პროექტის მიერ, რომელიც იძლევა სტანდარტული ანალიზის ხელსაწყოების გამოყენების საშუალებას, როგორიცაა ბეღელი2. BASE, Snorby, Sguil და SQueRT პროდუქტებთან ინტეგრაციის შესაძლებლობა. PCAP გამომავალი მხარდაჭერა;
პროტოკოლების ავტომატური გამოვლენის მხარდაჭერა (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB და ა. მოძრაობა არასტანდარტულ პორტზე) . დეკოდერების ხელმისაწვდომობა HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP და SSH პროტოკოლებისთვის;
ძლიერი HTTP ტრაფიკის ანალიზის სისტემა, რომელიც იყენებს Mod_Security პროექტის ავტორის მიერ შექმნილ სპეციალურ HTP ბიბლიოთეკას HTTP ტრაფიკის გასაანალიზებლად და ნორმალიზებისთვის. ხელმისაწვდომია მოდული ტრანზიტული HTTP გადარიცხვების დეტალური ჟურნალის შესანარჩუნებლად; ჟურნალი ინახება სტანდარტულ ფორმატში
აპაჩი. HTTP-ით გადაცემული ფაილების მოძიება და შემოწმება მხარდაჭერილია. შეკუმშული შინაარსის ანალიზის მხარდაჭერა. იდენტიფიკაციის უნარი URI, Cookie, headers, user-agent, მოთხოვნა/პასუხის ორგანო;
სხვადასხვა ინტერფეისების მხარდაჭერა ტრაფიკის ჩარევისთვის, მათ შორის NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. შესაძლებელია უკვე შენახული ფაილების ანალიზი PCAP ფორმატში;
მაღალი წარმადობა, ნაკადების დამუშავების უნარი 10 გიგაბიტ/წმ-მდე ჩვეულებრივ აღჭურვილობაზე.
მაღალი ხარისხის ნიღბის შესატყვისი მექანიზმი IP მისამართების დიდი ნაკრებისთვის. ნიღბისა და რეგულარული გამონათქვამების საშუალებით შინაარსის არჩევის მხარდაჭერა. ფაილების იზოლირება ტრაფიკიდან, მათ შორის მათი იდენტიფიკაცია სახელის, ტიპის ან MD5 საკონტროლო ჯამის მიხედვით.
წესებში ცვლადების გამოყენების შესაძლებლობა: შეგიძლიათ შეინახოთ ინფორმაცია ნაკადიდან და მოგვიანებით გამოიყენოთ სხვა წესებში;
YAML ფორმატის გამოყენება კონფიგურაციის ფაილებში, რაც საშუალებას გაძლევთ შეინარჩუნოთ სიცხადე, ხოლო დამუშავება მარტივია;
სრული IPv6 მხარდაჭერა;
ჩამონტაჟებული ძრავა პაკეტების ავტომატური დეფრაგმენტაციისა და ხელახალი აწყობისთვის, რაც იძლევა ნაკადების სწორად დამუშავების საშუალებას, მიუხედავად იმისა, თუ რა თანმიმდევრობით მოდის პაკეტები;
გვირაბის პროტოკოლების მხარდაჭერა: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
პაკეტის დეკოდირების მხარდაჭერა: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
კლავიშებისა და სერთიფიკატების აღრიცხვის რეჟიმი, რომლებიც გამოჩნდება TLS/SSL კავშირებში;
Lua-ში სკრიპტების დაწერის შესაძლებლობა, რათა უზრუნველყოს მოწინავე ანალიზი და განახორციელოს დამატებითი შესაძლებლობები, რომლებიც საჭიროა ტრაფიკის ტიპების იდენტიფიცირებისთვის, რომლებისთვისაც სტანდარტული წესები არ არის საკმარისი.

წყარო: opennet.ru

Suricata 6.0 შეჭრის აღმოჩენის სისტემის გამოშვება

ახალი კომენტარის დამატება

Suricata 6.0 შეჭრის აღმოჩენის სისტემის გამოშვება

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება