ProHoster > blog > aħbarijiet fuq l-internet > Rilaxx tas-sistema ta 'skoperta ta' intrużjoni Suricata 6.0

Rilaxx tas-sistema ta 'skoperta ta' intrużjoni Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) ippubblikat rilaxx ta 'sistema ta' skoperta u prevenzjoni ta 'intrużjoni tan-netwerk Meerkat 6.0, li tipprovdi għodda għall-ispezzjoni ta’ diversi tipi ta’ traffiku. Fil-konfigurazzjonijiet Suricata huwa possibbli li tuża databases tal-firem, żviluppat mill-proġett Snort, kif ukoll settijiet ta' regoli Theddid Emerġenti и Theddid Emerġenti Pro. Sorsi tal-proġett jinfirex liċenzjat taħt GPLv2.

Bidliet ewlenin:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSX).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Karatteristiċi ta 'Suricata:

  • Uża format unifikat biex turi r-riżultati tal-iskannjar Unifikat2, użat ukoll mill-proġett Snort, li jippermetti l-użu ta 'għodod ta' analiżi standard bħal barnyard2. Possibbiltà ta 'integrazzjoni mal-prodotti BASE, Snorby, Sguil u SQueRT. Appoġġ għall-output PCAP;
  • Appoġġ għall-iskoperta awtomatika ta 'protokolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, eċċ.), Li jippermettilek topera f'regoli biss skond it-tip ta' protokoll, mingħajr referenza għan-numru tal-port (per eżempju, blokk HTTP traffiku fuq port mhux standard). Disponibbiltà ta' decoders għal protokolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP u SSH;
  • Sistema qawwija ta 'analiżi tat-traffiku HTTP li tuża librerija HTP speċjali maħluqa mill-awtur tal-proġett Mod_Security biex tparsa u tinnormalizza t-traffiku HTTP. Modulu huwa disponibbli għaż-żamma ta 'ġurnal dettaljat tat-trasferimenti HTTP ta' transitu; ir-reġistru huwa ssejvjat f'format standard
    Apache. L-irkupru u l-iċċekkjar ta 'fajls trażmessi permezz ta' HTTP huwa appoġġjat. Appoġġ għall-parsing ta 'kontenut kompressat. Kapaċità li tidentifika permezz ta 'URI, Cookie, headers, utent-aġent, korp ta' talba/rispons;

  • Appoġġ għal diversi interfaces għall-interċettazzjoni tat-traffiku, inklużi NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Huwa possibbli li jiġu analizzati fajls diġà salvati fil-format PCAP;
  • Prestazzjoni għolja, kapaċità li tipproċessa flussi sa 10 gigabits/sek fuq tagħmir konvenzjonali.
  • Mekkaniżmu ta 'tqabbil tal-maskra ta' prestazzjoni għolja għal settijiet kbar ta 'indirizzi IP. Appoġġ għall-għażla tal-kontenut bil-maskra u l-espressjonijiet regolari. L-iżolament ta' fajls mit-traffiku, inkluża l-identifikazzjoni tagħhom bl-isem, it-tip jew is-checksum MD5.
  • Kapaċità li tuża varjabbli fir-regoli: tista 'tiffranka informazzjoni minn fluss u aktar tard tużaha f'regoli oħra;
  • Użu tal-format YAML f'fajls ta 'konfigurazzjoni, li jippermettilek iżżomm iċ-ċarezza filwaqt li tkun faċli biex tipproċessa l-magni;
  • Appoġġ sħiħ IPv6;
  • Magna inkorporata għal deframmentazzjoni awtomatika u assemblaġġ mill-ġdid tal-pakketti, li tippermetti l-ipproċessar korrett tal-flussi, irrispettivament mill-ordni li fiha jaslu l-pakketti;
  • Appoġġ għall-protokolli tal-mini: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Appoġġ għad-dekodifikazzjoni tal-pakketti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mod għall-illoggjar ċwievet u ċertifikati li jidhru fi ħdan konnessjonijiet TLS/SSL;
  • Il-ħila li tikteb skripts fil-Lua biex tipprovdi analiżi avvanzata u timplimenta kapaċitajiet addizzjonali meħtieġa biex tidentifika tipi ta 'traffiku li għalihom ir-regoli standard mhumiex biżżejjed.

Sors: opennet.ru

Żid kumment