🥇Достапен е систем за откривање напади Suricata 5.0

Организација OISF (Фондација за отворена информациска безбедност) објавено ослободување на системот за откривање и спречување на упади во мрежата Meerkat 5.0, кој обезбедува алатки за проверка на различни видови сообраќај. Во конфигурациите на Suricata е можно да се користи бази на податоци за потпис, развиен од проектот Snort, како и множества правила Појавни закани и Емерging Threats Pro. Извори на проектот ширење лиценцирана според GPLv2.

Главни промени:

Воведени се нови модули за протоколи за парсирање и логирање
RDP, SNMP и SIP напишани во Rust. Способноста за најавување преку потсистемот EVE е додадена во модулот за парсирање на FTP, обезбедувајќи излез на настан во JSON формат;
Покрај поддршката за методот за идентификација на клиентот JA3 TLS што се појави во последното издание, поддршка за методот JA3S, дозволувајќи Врз основа на карактеристиките на преговорите за поврзување и наведените параметри, одредете кој софтвер се користи за воспоставување врска (на пример, ви овозможува да ја одредите употребата на Tor и други стандардни апликации). JA3 ви овозможува да дефинирате клиенти, а JA3S ви овозможува да дефинирате сервери. Резултатите од определувањето може да се користат во јазикот за поставување правила и во дневници;
Додадена е експериментална способност за совпаѓање на примероци од големи збирки податоци, имплементирана со помош на нови операции база на податоци и datarep. На пример, функцијата е применлива за пребарување на маски во големи црни листи што содржат милиони записи;
Режимот за проверка на HTTP обезбедува целосно покривање на сите ситуации опишани во пакетот за тестирање HTTP Evader (на пр., опфаќа техники кои се користат за да се сокријат злонамерните активности во сообраќајот);
Алатките за развој на модули на јазикот Rust се префрлени од опции во задолжителни стандардни способности. Во иднина, се планира да се прошири употребата на Rust во базата на кодови на проектот и постепено да се заменат модулите со аналози развиени во Rust;
Моторот за дефиниција на протокол е подобрен за да се подобри прецизноста и да се справи со асинхроните сообраќајни текови;
Поддршка за нов тип на внес „аномалија“ е додадена во дневникот на EVE, кој ги складира атипичните настани откриени при декодирање на пакети. EVE исто така го прошири прикажувањето на информации за VLAN и интерфејсите за снимање сообраќај. Додадена е опција за зачувување на сите HTTP заглавија во записите во дневникот EVE http;
Ракувачите базирани на eBPF обезбедуваат поддршка за хардверски механизми за забрзување на фаќањето пакети. Хардверското забрзување моментално е ограничено на мрежните адаптери на Нетроном, но наскоро ќе биде достапно и за друга опрема;
Кодот за снимање сообраќај со помош на рамката Netmap е препишан. Додадена е можност за користење напредни функции на Netmap како виртуелен прекинувач VALE;
Додадено поддршка за нова шема за дефиниција на клучни зборови за Sticky Buffers. Новата шема е дефинирана во формат „protocol.buffer“, на пример, за проверка на URI, клучниот збор ќе има форма „http.uri“ наместо „http_uri“;
Сите употребени кодови на Python се тестираат за компатибилност со
Python3;
Поддршката за архитектурата Tilera, текстуалниот дневник dns.log и старите log files-json.log е прекината.

Карактеристики на Suricata:

Користење на унифициран формат за прикажување на резултатите од скенирањето Унифициран2, користен и од проектот Snort, кој овозможува користење на стандардни алатки за анализа како на пр штала2. Можност за интеграција со производите BASE, Snorby, Sguil и SQueRT. PCAP излезна поддршка;
Поддршка за автоматско откривање на протоколи (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, итн.), што ви овозможува да работите во правила само по тип на протокол, без повикување на бројот на портата (на пример, блокирајте HTTP сообраќај на нестандардно пристаниште) . Достапност на декодери за HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH протоколи;
Моќен систем за анализа на сообраќајот HTTP кој користи специјална HTP библиотека создадена од авторот на проектот Mod_Security за анализа и нормализирање на HTTP сообраќајот. Достапен е модул за одржување детален дневник на транзитни HTTP трансфери; дневникот е зачуван во стандарден формат
Апачи. Поддржано е преземање и проверка на датотеки пренесени преку HTTP. Поддршка за парсирање на компресирана содржина. Способност за идентификување по URI, колачиња, заглавија, кориснички агент, тело за барање/одговор;
Поддршка за различни интерфејси за следење на сообраќајот, вклучувајќи NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можно е да се анализираат веќе зачуваните датотеки во формат PCAP;
Високи перформанси, способност за обработка на текови до 10 гигабити/сек на конвенционална опрема.
Механизам за совпаѓање со маски со високи перформанси за големи групи на IP адреси. Поддршка за избор на содржина со маска и регуларни изрази. Изолирање на датотеки од сообраќај, вклучително и нивна идентификација по име, тип или контролна сума MD5.
Способност за користење променливи во правилата: можете да зачувате информации од стрим и подоцна да ги користите во други правила;
Употреба на формат YAML во конфигурациските датотеки, што ви овозможува да одржувате јасност додека е лесна за обработка;
Целосна поддршка за IPv6;
Вграден мотор за автоматска дефрагментација и повторно склопување на пакети, овозможувајќи правилна обработка на потоци, без оглед на редоследот по кој пристигнуваат пакетите;
Поддршка за протоколи за тунелирање: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Поддршка за декодирање на пакети: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
Режим за логирање клучеви и сертификати кои се појавуваат во TLS/SSL конекции;
Способност да се пишуваат скрипти во Луа за да се обезбеди напредна анализа и да се имплементираат дополнителни способности потребни за да се идентификуваат видовите сообраќај за кои стандардните правила не се доволни.

Извор: opennet.ru

Достапен е систем за откривање напади Suricata 5.0

Додадете коментар Откажи одговор