ProHoster > Dienoraštis > interneto naujienos > Yra Suricata 5.0 atakų aptikimo sistema

Yra Suricata 5.0 atakų aptikimo sistema

Organizacija OISF (Open Information Security Foundation) опубликовала tinklo įsilaužimo aptikimo ir prevencijos sistemos išleidimas Meerkat 5.0, kuriame pateikiami įrankiai įvairių tipų eismui tikrinti. Suricata konfigūracijose galima naudoti parašų duomenų bazės, kurį sukūrė Snort projektas, taip pat taisyklių rinkinius Kylančios grėsmės и Emerging Threats Pro. Projekto šaltiniai skleisti licencijuota pagal GPLv2.

Pagrindiniai pakeitimai:

  • Pristatyti nauji moduliai, skirti analizuoti ir registruoti protokolus
    RDP, SNMP ir SIP parašyti Rust. Prie FTP analizavimo modulio pridėta galimybė prisijungti per EVE posistemį, teikianti įvykių išvestį JSON formatu;

  • Be JA3 TLS kliento identifikavimo metodo palaikymo, kuris pasirodė paskutinėje laidoje, metodo palaikymas JA3S, leidžiantis Remdamiesi derybų dėl prisijungimo ypatybėmis ir nurodytais parametrais, nustatykite, kokia programinė įranga naudojama ryšiui užmegzti (pavyzdžiui, ji leidžia nustatyti Tor ir kitų standartinių programų naudojimą). JA3 leidžia apibrėžti klientus, o JA3S – serverius. Nustatymo rezultatai gali būti naudojami taisyklių nustatymo kalba ir žurnaluose;
  • Pridėta eksperimentinė galimybė suderinti pavyzdžius iš didelių duomenų rinkinių, įdiegta naudojant naujas operacijas duomenų rinkinys ir duomenų atkūrimas. Pavyzdžiui, ši funkcija taikoma ieškant kaukių dideliuose juoduosiuose sąrašuose, kuriuose yra milijonai įrašų;
  • HTTP tikrinimo režimas suteikia pilną visų situacijų, aprašytų bandymų rinkinyje, aprėptį HTTP vengimas (pvz., apima metodus, naudojamus kenkėjiškai veiklai sraute paslėpti);
  • Modulių kūrimo Rust kalba įrankiai buvo perkelti iš parinkčių į privalomas standartines galimybes. Ateityje planuojama plėsti Rust naudojimą projekto kodų bazėje ir palaipsniui keisti modulius Rust sukurtais analogais;
  • Protokolo apibrėžimo variklis buvo patobulintas, siekiant pagerinti tikslumą ir valdyti asinchroninius srautus;
  • Naujo „anomalija“ įrašo tipo palaikymas buvo įtrauktas į EVE žurnalą, kuriame saugomi netipiniai įvykiai, aptikti dekoduojant paketus. EVE taip pat išplėtė informacijos apie VLAN ir srauto fiksavimo sąsajas rodymo galimybes. Pridėta galimybė išsaugoti visas HTTP antraštes EVE http žurnalo įrašuose;
  • eBPF pagrįstos tvarkyklės palaiko aparatinės įrangos mechanizmus, skirtus pagreitinti paketų fiksavimą. Aparatinės įrangos spartinimas šiuo metu apsiriboja Netronome tinklo adapteriais, bet netrukus bus pasiekiamas ir kitai įrangai;
  • Srauto fiksavimo naudojant Netmap sistemą kodas buvo perrašytas. Pridėta galimybė naudoti pažangias „Netmap“ funkcijas, tokias kaip virtualus jungiklis VALE;
  • Pridėta palaikymas naujai lipniųjų buferių raktinių žodžių apibrėžimo schemai. Naujoji schema apibrėžiama „protocol.buffer“ formatu, pavyzdžiui, tikrinant URI, raktinis žodis bus „http.uri“, o ne „http_uri“;
  • Visas naudojamas Python kodas yra suderinamas su
    Python 3;

  • „Tilera“ architektūros, teksto žurnalo dns.log ir senojo žurnalo failų-json.log palaikymas buvo nutrauktas.

Suricata savybės:

  • Vieningo formato naudojimas nuskaitymo rezultatams rodyti Unified2, taip pat naudojamas Snort projekto, kuris leidžia naudoti standartines analizės priemones, pvz tvartas2. Galimybė integruoti su BASE, Snorby, Sguil ir SQueRT produktais. PCAP išvesties palaikymas;
  • Automatinio protokolų (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ir kt.) palaikymas, leidžiantis veikti taisyklėse tik pagal protokolo tipą, nenurodant prievado numerio (pavyzdžiui, blokuoti HTTP srautas nestandartiniame prievade). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ir SSH protokolų dekoderių prieinamumas;
  • Galinga HTTP srauto analizės sistema, naudojanti specialią HTP biblioteką, kurią sukūrė Mod_Security projekto autorius, analizuoti ir normalizuoti HTTP srautą. Yra modulis, skirtas tvarkyti išsamų tranzitinių HTTP perdavimų žurnalą; žurnalas išsaugomas standartiniu formatu
    Apache. Palaikomas failų, perduodamų per HTTP, gavimas ir tikrinimas. Suglaudinto turinio analizavimo palaikymas. Galimybė identifikuoti pagal URI, slapuką, antraštes, vartotojo agentą, užklausos/atsakymo turinį;

  • Palaikymas įvairioms eismo perėmimo sąsajoms, įskaitant NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Galima analizuoti jau išsaugotus failus PCAP formatu;
  • Didelis našumas, galimybė apdoroti srautus iki 10 gigabitų per sekundę naudojant įprastą įrangą.
  • Didelio našumo kaukių atitikimo mechanizmas dideliems IP adresų rinkiniams. Turinio pasirinkimo pagal kaukę ir reguliariąsias išraiškas palaikymas. Failų išskyrimas nuo srauto, įskaitant jų identifikavimą pagal pavadinimą, tipą arba MD5 kontrolinę sumą.
  • Galimybė naudoti kintamuosius taisyklėse: galite išsaugoti informaciją iš srauto ir vėliau panaudoti kitose taisyklėse;
  • YAML formato naudojimas konfigūracijos failuose, leidžiantis išlaikyti aiškumą ir būti lengvai apdorojamas;
  • Visiškas IPv6 palaikymas;
  • Integruotas variklis, skirtas automatiniam paketų defragmentavimui ir pakartotiniam surinkimui, leidžiantis tinkamai apdoroti srautus, neatsižvelgiant į paketų gavimo tvarką;
  • Tuneliavimo protokolų palaikymas: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paketų dekodavimo palaikymas: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL ryšiuose rodomų raktų ir sertifikatų registravimo režimas;
  • Galimybė rašyti scenarijus Lua, kad būtų galima atlikti pažangią analizę ir įdiegti papildomas galimybes, reikalingas srauto tipams, kuriems standartinių taisyklių nepakanka, nustatyti.

    • Šaltinis: opennet.ru

Добавить комментарий