ProHoster > Blog > интернет жаңылыктары > Suricata 5.0 кол салууларды аныктоо системасы жеткиликтүү

Suricata 5.0 кол салууларды аныктоо системасы жеткиликтүү

Уюм OISF (Ачык маалымат коопсуздугу фонду) жарыяланган тармакка кирүүнү аныктоо жана алдын алуу системасын чыгаруу Meerkat 5.0, ал кыймылдын ар кандай түрлөрүн текшерүү үчүн куралдар менен камсыз кылат. Suricata конфигурацияларында аны колдонууга болот кол базалары, Snort долбоору тарабынан иштелип чыккан, ошондой эле эрежелердин топтому Emerging Threats и Emerging Threats Pro. Долбоор булактары жайылуу GPLv2 боюнча лицензияланган.

Негизги өзгөрүүлөр:

  • Протоколдорду талдоо жана каттоо үчүн жаңы модулдар киргизилди
    RDP, SNMP жана SIP Rust менен жазылган. JSON форматында окуянын чыгышын камсыз кылуучу FTP талдоо модулуна EVE подсистемасы аркылуу кирүү мүмкүнчүлүгү кошулду;

  • Акыркы чыгарылышта пайда болгон JA3 TLS кардарын идентификациялоо ыкмасын колдоодон тышкары, методду колдоо JA3S, уруксат берүү Туташуу сүйлөшүүлөрүнүн мүнөздөмөлөрүнө жана көрсөтүлгөн параметрлерге таянып, байланышты орнотуу үчүн кандай программалык камсыздоо колдонуларын аныктаңыз (мисалы, ал Tor жана башка стандарттык тиркемелерди колдонууну аныктоого мүмкүндүк берет). JA3 кардарларды аныктоого мүмкүндүк берет, ал эми JA3S серверлерди аныктоого мүмкүндүк берет. Аныктаманын натыйжалары эреже орнотуу тилинде жана журналдарда колдонулушу мүмкүн;
  • Жаңы операцияларды колдонуу менен ишке ашырылган чоң маалымат топтомдорунун үлгүлөрүн дал келтирүү үчүн кошумча эксперименталдык мүмкүнчүлүк dataset жана datarep. Мисалы, бул функция миллиондогон жазууларды камтыган чоң кара тизмелерден маскаларды издөө үчүн колдонулат;
  • HTTP текшерүү режими сыноо топтомунда сүрөттөлгөн бардык жагдайларды толук камтууну камсыз кылат HTTP Evader (мисалы, трафиктеги зыяндуу аракеттерди жашыруу үчүн колдонулган ыкмаларды камтыйт);
  • Rust тилиндеги модулдарды иштеп чыгуу үчүн куралдар варианттардан милдеттүү стандарттык мүмкүнчүлүктөргө которулду. Келечекте долбоордун код базасында Rustту колдонууну кеңейтүү жана акырындык менен модулдарды Rustто иштелип чыккан аналогдорго алмаштыруу пландаштырылууда;
  • Протоколду аныктоо кыймылдаткычы тактыкты жакшыртуу жана асинхрондук трафик агымдарын башкаруу үчүн жакшыртылды;
  • EVE журналына жаңы "аномалия" киргизүү түрүн колдоо кошулду, анда пакеттерди чечмелөөдө аныкталган атиптик окуялар сакталат. EVE ошондой эле VLANлар жана трафикти тартуу интерфейстери жөнүндө маалыматты кеңейтти. EVE http журналынын жазууларында бардык HTTP аталыштарын сактоо опциясы кошулду;
  • eBPF негизиндеги иштетүүчүлөр пакетти басып алууну тездетүү үчүн аппараттык механизмдерге колдоо көрсөтөт. Аппараттык тездетүү азыркы учурда Netronome тармак адаптерлери менен чектелген, бирок жакында башка жабдуулар үчүн жеткиликтүү болот;
  • Nemap алкагын колдонуу менен трафикти тартуу үчүн код кайра жазылды. Виртуалдык которгуч сыяктуу өркүндөтүлгөн Nemap функцияларын колдонуу мүмкүнчүлүгү кошулду Уимблдон;
  • Кошулган Sticky Buffers үчүн жаңы ачкыч сөздөрдү аныктоо схемасын колдоо. Жаңы схема “protocol.buffer” форматында аныкталган, мисалы, URIди текшерүү үчүн ачкыч сөз “http_uri” ордуна “http.uri” формасын алат;
  • Бардык колдонулган Python коду шайкештиги үчүн сыналган
    Python3;

  • Tilera архитектурасын, dns.log текст журналын жана файлдар-json.log эски журналын колдоо токтотулду.

Suricata өзгөчөлүктөрү:

  • Скандоо натыйжаларын көрсөтүү үчүн бирдиктүү форматты колдонуу Бирдиктүү2, ошондой эле стандарттык талдоо куралдарын колдонууга мүмкүндүк берген Snort долбоору тарабынан колдонулат сарай2. BASE, Snorby, Sguil жана SQueRT өнүмдөрү менен интеграциялоо мүмкүнчүлүгү. PCAP чыгаруу колдоо;
  • Протоколдорду автоматтык түрдө аныктоону колдоо (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ж.б.), эрежелерде протоколдун түрү боюнча гана иштөөгө мүмкүндүк берет, порт номерине шилтеме берүүсүз (мисалы, HTTP бөгөттөө). стандарттуу эмес порт боюнча трафик). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP жана SSH протоколдору үчүн декодерлердин болушу;
  • HTTP трафикти талдоо жана нормалдаштыруу үчүн Mod_Security долбоорунун автору тарабынан түзүлгөн атайын HTP китепканасын колдонгон күчтүү HTTP трафикти талдоо системасы. Транзиттик HTTP которуулардын деталдуу журналын жүргүзүү үчүн модуль бар; журнал стандарттуу форматта сакталат
    Apache. HTTP аркылуу берилүүчү файлдарды алуу жана текшерүү колдоого алынат. Кысылган мазмунду талдоо үчүн колдоо. URI, Cookie, аталыштар, колдонуучу-агент, суроо/жооп органы менен аныктоо мүмкүнчүлүгү;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING сыяктуу трафикти кармоо үчүн ар кандай интерфейстерди колдоо. PCAP форматында буга чейин сакталган файлдарды талдоо мүмкүн;
  • Жогорку өндүрүмдүүлүк, кадимки жабдууларда 10 гигабит/сек агымдарды иштетүү мүмкүнчүлүгү.
  • IP даректеринин чоң топтомдору үчүн жогорку натыйжалуу маска дал келүүчү механизм. Маска жана кадимки сөз айкаштары боюнча мазмунду тандоо үчүн колдоо. Файлдарды трафиктен обочолонтуу, анын ичинде аты, түрү же MD5 текшерүү суммасы боюнча идентификациялоо.
  • Эрежелерде өзгөрмөлөрдү колдонуу мүмкүнчүлүгү: агымдагы маалыматты сактап, кийинчерээк башка эрежелерде колдоно аласыз;
  • Конфигурация файлдарында YAML форматын колдонуу, бул процессти машинада иштетүүгө оңой болгон учурда тактыкты сактоого мүмкүндүк берет;
  • Толук IPv6 колдоосу;
  • пакеттерди автоматтык түрдө дефрагментациялоо жана кайра чогултуу үчүн орнотулган кыймылдаткыч, пакеттердин келүү тартибине карабастан агымдарды туура иштетүүгө мүмкүндүк берет;
  • Туннелдөө протоколдорун колдоо: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакеттин декоддоосун колдоо: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL байланыштарында пайда болгон ачкычтарды жана сертификаттарды каттоо режими;
  • Стандарттык эрежелер жетишсиз болгон трафиктин түрлөрүн аныктоо үчүн зарыл болгон өнүккөн талдоо жана кошумча мүмкүнчүлүктөрдү ишке ашыруу үчүн Луада скрипттерди жазуу жөндөмү.

    • Source: opennet.ru

Комментарий кошуу