ProHoster > Dienoraštis > interneto naujienos > Suricata 6.0 įsibrovimo aptikimo sistemos išleidimas

Suricata 6.0 įsibrovimo aptikimo sistemos išleidimas

Po metų plėtros OISF (Open Information Security Foundation) organizacija опубликовала tinklo įsilaužimo aptikimo ir prevencijos sistemos išleidimas Meerkat 6.0, kuriame pateikiami įrankiai įvairių tipų eismui tikrinti. Suricata konfigūracijose galima naudoti parašų duomenų bazės, kurį sukūrė Snort projektas, taip pat taisyklių rinkinius Kylančios grėsmės и Emerging Threats Pro. Projekto šaltiniai skleisti licencijuota pagal GPLv2.

Pagrindiniai pakeitimai:

  • Pradinis HTTP/2 palaikymas.
  • RFB ir MQTT protokolų palaikymas, įskaitant galimybę apibrėžti protokolą ir tvarkyti žurnalą.
  • Galimybė prisijungti prie DCERPC protokolo.
  • Žymiai pagerintas registravimo našumas per EVE posistemį, kuris teikia įvykių išvestį JSON formatu. Pagreitis buvo pasiektas naudojant naują JSON atsargų kūrėją, parašytą Rust kalba.
  • Buvo padidintas EVE žurnalų sistemos mastelio keitimas ir įdiegta galimybė kiekvienai gijai išlaikyti atskirą žurnalo failą.
  • Galimybė apibrėžti informacijos iš naujo nustatymo į žurnalą sąlygas.
  • Galimybė atspindėti MAC adresus EVE žurnale ir padidinti DNS žurnalo detalumą.
  • Srauto variklio veikimo gerinimas.
  • SSH diegimų identifikavimo palaikymas (HASSH).
  • GENEVE tunelinio dekoderio įdiegimas.
  • Apdorojimo kodas buvo perrašytas Rust kalba ASN.1, DCERPC ir SSH. Rust taip pat palaiko naujus protokolus.
  • Taisyklės apibrėžimo kalboje parametro from_end palaikymas buvo pridėtas prie raktinio žodžio byte_jump, o bitmask parametro palaikymas – prie byte_test. Įdiegė raktinį žodį pcrexform, kad būtų galima naudoti reguliariąsias išraiškas (pcre) poeilutei užfiksuoti. Pridėta urldecode konversija. Pridėtas byte_math raktinis žodis.
  • Suteikia galimybę naudoti cbindgen, kad būtų galima generuoti įrišimus Rust ir C kalbomis.
  • Pridėtas pradinis papildinio palaikymas.

Suricata savybės:

  • Vieningo formato naudojimas nuskaitymo rezultatams rodyti Unified2, taip pat naudojamas Snort projekto, kuris leidžia naudoti standartines analizės priemones, pvz tvartas2. Galimybė integruoti su BASE, Snorby, Sguil ir SQueRT produktais. PCAP išvesties palaikymas;
  • Automatinio protokolų (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ir kt.) palaikymas, leidžiantis veikti taisyklėse tik pagal protokolo tipą, nenurodant prievado numerio (pavyzdžiui, blokuoti HTTP srautas nestandartiniame prievade). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ir SSH protokolų dekoderių prieinamumas;
  • Galinga HTTP srauto analizės sistema, naudojanti specialią HTP biblioteką, kurią sukūrė Mod_Security projekto autorius, analizuoti ir normalizuoti HTTP srautą. Yra modulis, skirtas tvarkyti išsamų tranzitinių HTTP perdavimų žurnalą; žurnalas išsaugomas standartiniu formatu
    Apache. Palaikomas failų, perduodamų per HTTP, gavimas ir tikrinimas. Suglaudinto turinio analizavimo palaikymas. Galimybė identifikuoti pagal URI, slapuką, antraštes, vartotojo agentą, užklausos/atsakymo turinį;

  • Palaikymas įvairioms eismo perėmimo sąsajoms, įskaitant NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Galima analizuoti jau išsaugotus failus PCAP formatu;
  • Didelis našumas, galimybė apdoroti srautus iki 10 gigabitų per sekundę naudojant įprastą įrangą.
  • Didelio našumo kaukių atitikimo mechanizmas dideliems IP adresų rinkiniams. Turinio pasirinkimo pagal kaukę ir reguliariąsias išraiškas palaikymas. Failų išskyrimas nuo srauto, įskaitant jų identifikavimą pagal pavadinimą, tipą arba MD5 kontrolinę sumą.
  • Galimybė naudoti kintamuosius taisyklėse: galite išsaugoti informaciją iš srauto ir vėliau panaudoti kitose taisyklėse;
  • YAML formato naudojimas konfigūracijos failuose, leidžiantis išlaikyti aiškumą ir būti lengvai apdorojamas;
  • Visiškas IPv6 palaikymas;
  • Integruotas variklis, skirtas automatiniam paketų defragmentavimui ir pakartotiniam surinkimui, leidžiantis tinkamai apdoroti srautus, neatsižvelgiant į paketų gavimo tvarką;
  • Tuneliavimo protokolų palaikymas: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paketų dekodavimo palaikymas: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL ryšiuose rodomų raktų ir sertifikatų registravimo režimas;
  • Galimybė rašyti scenarijus Lua, kad būtų galima atlikti pažangią analizę ir įdiegti papildomas galimybes, reikalingas srauto tipams, kuriems standartinių taisyklių nepakanka, nustatyti.

Šaltinis: opennet.ru

Добавить комментарий