ProHoster > Blog > интернет жаңылыктары > Suricata 6.0 интрузияны аныктоо системасын чыгаруу

Suricata 6.0 интрузияны аныктоо системасын чыгаруу

После года разработки организация OISF (Open Information Security Foundation) жарыяланган тармакка кирүүнү аныктоо жана алдын алуу системасын чыгаруу Meerkat 6.0, ал кыймылдын ар кандай түрлөрүн текшерүү үчүн куралдар менен камсыз кылат. Suricata конфигурацияларында аны колдонууга болот кол базалары, Snort долбоору тарабынан иштелип чыккан, ошондой эле эрежелердин топтому Emerging Threats и Emerging Threats Pro. Долбоор булактары жайылуу GPLv2 боюнча лицензияланган.

Негизги өзгөрүүлөр:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata өзгөчөлүктөрү:

  • Скандоо натыйжаларын көрсөтүү үчүн бирдиктүү форматты колдонуу Бирдиктүү2, ошондой эле стандарттык талдоо куралдарын колдонууга мүмкүндүк берген Snort долбоору тарабынан колдонулат сарай2. BASE, Snorby, Sguil жана SQueRT өнүмдөрү менен интеграциялоо мүмкүнчүлүгү. PCAP чыгаруу колдоо;
  • Протоколдорду автоматтык түрдө аныктоону колдоо (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ж.б.), эрежелерде протоколдун түрү боюнча гана иштөөгө мүмкүндүк берет, порт номерине шилтеме берүүсүз (мисалы, HTTP бөгөттөө). стандарттуу эмес порт боюнча трафик). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP жана SSH протоколдору үчүн декодерлердин болушу;
  • HTTP трафикти талдоо жана нормалдаштыруу үчүн Mod_Security долбоорунун автору тарабынан түзүлгөн атайын HTP китепканасын колдонгон күчтүү HTTP трафикти талдоо системасы. Транзиттик HTTP которуулардын деталдуу журналын жүргүзүү үчүн модуль бар; журнал стандарттуу форматта сакталат
    Apache. HTTP аркылуу берилүүчү файлдарды алуу жана текшерүү колдоого алынат. Кысылган мазмунду талдоо үчүн колдоо. URI, Cookie, аталыштар, колдонуучу-агент, суроо/жооп органы менен аныктоо мүмкүнчүлүгү;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING сыяктуу трафикти кармоо үчүн ар кандай интерфейстерди колдоо. PCAP форматында буга чейин сакталган файлдарды талдоо мүмкүн;
  • Жогорку өндүрүмдүүлүк, кадимки жабдууларда 10 гигабит/сек агымдарды иштетүү мүмкүнчүлүгү.
  • IP даректеринин чоң топтомдору үчүн жогорку натыйжалуу маска дал келүүчү механизм. Маска жана кадимки сөз айкаштары боюнча мазмунду тандоо үчүн колдоо. Файлдарды трафиктен обочолонтуу, анын ичинде аты, түрү же MD5 текшерүү суммасы боюнча идентификациялоо.
  • Эрежелерде өзгөрмөлөрдү колдонуу мүмкүнчүлүгү: агымдагы маалыматты сактап, кийинчерээк башка эрежелерде колдоно аласыз;
  • Конфигурация файлдарында YAML форматын колдонуу, бул процессти машинада иштетүүгө оңой болгон учурда тактыкты сактоого мүмкүндүк берет;
  • Толук IPv6 колдоосу;
  • пакеттерди автоматтык түрдө дефрагментациялоо жана кайра чогултуу үчүн орнотулган кыймылдаткыч, пакеттердин келүү тартибине карабастан агымдарды туура иштетүүгө мүмкүндүк берет;
  • Туннелдөө протоколдорун колдоо: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Пакеттин декоддоосун колдоо: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL байланыштарында пайда болгон ачкычтарды жана сертификаттарды каттоо режими;
  • Стандарттык эрежелер жетишсиз болгон трафиктин түрлөрүн аныктоо үчүн зарыл болгон өнүккөн талдоо жана кошумча мүмкүнчүлүктөрдү ишке ашыруу үчүн Луада скрипттерди жазуу жөндөмү.

Source: opennet.ru

Комментарий кошуу