ProHoster > Blogs > interneta ziņas > Suricata 6.0 ielaušanās noteikšanas sistēmas izlaišana

Suricata 6.0 ielaušanās noteikšanas sistēmas izlaišana

После года разработки организация OISF (Open Information Security Foundation) опубликовала tīkla ielaušanās atklāšanas un novēršanas sistēmas atbrīvošana Meerkat 6.0, kas nodrošina rīkus dažādu satiksmes veidu pārbaudei. Suricata konfigurācijās ir iespējams izmantot parakstu datu bāzes, ko izstrādājis projekts Snort, kā arī noteikumu kopas Jaunie draudi и Emerging Threats Pro. Projekta avoti izplatīties licencēts saskaņā ar GPLv2.

Galvenās izmaiņas:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata īpašības:

  • Izmantojot vienotu formātu, lai parādītu skenēšanas rezultātus Vienots2, ko izmanto arī Snort projekts, kas ļauj izmantot standarta analīzes rīkus, piemēram, barnyard2. Iespēja integrēt ar BASE, Snorby, Sguil un SQueRT produktiem. PCAP izvades atbalsts;
  • Atbalsts automātiskai protokolu noteikšanai (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB utt.), kas ļauj darboties noteikumos tikai pēc protokola veida, bez atsauces uz porta numuru (piemēram, bloķēt HTTP satiksme nestandarta portā). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP un SSH protokolu dekoderu pieejamība;
  • Jaudīga HTTP trafika analīzes sistēma, kas izmanto īpašu HTP bibliotēku, ko izveidojis Mod_Security projekta autors, lai analizētu un normalizētu HTTP trafiku. Ir pieejams modulis detalizēta tranzīta HTTP pārsūtīšanas žurnāla uzturēšanai; žurnāls tiek saglabāts standarta formātā
    Apache. Tiek atbalstīta failu izgūšana un pārbaude, kas pārsūtīti, izmantojot HTTP. Atbalsts saspiesta satura parsēšanai. Spēja identificēt pēc URI, sīkfaila, galvenēm, lietotāja aģenta, pieprasījuma/atbildes pamatteksta;

  • Atbalsts dažādām saskarnēm satiksmes pārtveršanai, tostarp NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Ir iespējams analizēt jau saglabātos failus PCAP formātā;
  • Augsta veiktspēja, spēja apstrādāt plūsmas līdz 10 gigabitiem/s, izmantojot parasto aprīkojumu.
  • Augstas veiktspējas masku saskaņošanas mehānisms lielām IP adrešu kopām. Atbalsts satura atlasei pēc maskas un regulārām izteiksmēm. Failu izolēšana no trafika, tostarp to identificēšana pēc nosaukuma, veida vai MD5 kontrolsummas.
  • Iespēja izmantot mainīgos noteikumos: var saglabāt informāciju no straumes un vēlāk izmantot citos noteikumos;
  • YAML formāta izmantošana konfigurācijas failos, kas ļauj saglabāt skaidrību, vienlaikus viegli apstrādājot;
  • Pilns IPv6 atbalsts;
  • Iebūvēts dzinējs automātiskai pakešu defragmentēšanai un atkārtotai salikšanai, ļaujot pareizi apstrādāt straumes neatkarīgi no pakešu ienākšanas secības;
  • Atbalsts tunelēšanas protokoliem: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Pakešu dekodēšanas atbalsts: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Režīms atslēgu un sertifikātu reģistrēšanai, kas parādās TLS/SSL savienojumos;
  • Iespēja rakstīt skriptus programmā Lua, lai nodrošinātu uzlabotu analīzi un ieviestu papildu iespējas, kas nepieciešamas, lai identificētu datplūsmas veidus, kuriem standarta noteikumi nav pietiekami.

Avots: opennet.ru

Pievieno komentāru