🥇Suricata 5.0 घुसपैठ पत्ता लगाउने प्रणाली उपलब्ध

संगठन OISF (खुला सूचना सुरक्षा फाउन्डेशन) प्रकाशित नेटवर्क घुसपैठ पत्ता लगाउने र रोकथाम प्रणाली को रिलीज Meerkat ..०, जसले विभिन्न प्रकारका ट्राफिकहरू निरीक्षण गर्ने माध्यम प्रदान गर्दछ। Suricata कन्फिगरेसनमा, यो प्रयोग गर्न अनुमति छ हस्ताक्षर आधारहरू, Snort परियोजना द्वारा विकसित, साथै नियम को सेट उदीयमान खतराहरू и इमर्जिङ थ्रेट्स प्रो। परियोजना स्रोत कोड फैलने GPLv2 अन्तर्गत इजाजतपत्र प्राप्त।

मुख्य परिवर्तनहरू:

प्रोटोकलहरूको लागि नयाँ पार्सिङ र लगिङ मोड्युलहरू प्रस्तुत गरियो
RDP, SNMP र SIP Rust मा लेखिएको छ। EVE उपप्रणाली मार्फत लग गर्ने क्षमता, जसले JSON ढाँचामा घटनाहरूको आउटपुट प्रदान गर्दछ, FTP पार्सिङ मोड्युलमा थपिएको छ;
अघिल्लो रिलीजमा पेश गरिएको JA3 TLS क्लाइन्ट प्रमाणीकरण विधिको लागि समर्थनको अतिरिक्त, विधिको लागि समर्थन JA3S, अनुमति दिँदै जडान वार्तालाप र निर्दिष्ट प्यारामिटरहरूको विशिष्टताहरूमा आधारित, जडान स्थापना गर्न कुन सफ्टवेयर प्रयोग गरिन्छ भनेर निर्धारण गर्नुहोस् (उदाहरणका लागि, यसले तपाईंलाई टोर र अन्य विशिष्ट अनुप्रयोगहरूको प्रयोग निर्धारण गर्न अनुमति दिन्छ)। JA3 ले ग्राहकहरू, र JA3S - सर्भरहरू परिभाषित गर्न सम्भव बनाउँछ। निर्धारणका परिणामहरू नियम सेटिङ भाषा र लगहरूमा प्रयोग गर्न सकिन्छ;
ठूला डेटासेटहरूको नमूनासँग मेल खाने प्रयोगात्मक क्षमता थपियो, नयाँ अपरेशनहरू प्रयोग गरेर लागू गरियो डाटासेट र डाटारेप। उदाहरण को लागी, सुविधा लाखौं प्रविष्टिहरु संग ठूलो कालोसूची मा मास्क खोजी गर्न को लागी लागू हुन्छ;
HTTP निरीक्षण मोडले परीक्षण सुइटमा वर्णन गरिएका सबै अवस्थाहरूको पूर्ण कभरेज प्रदान गर्दछ HTTP Evader (उदाहरणका लागि, ट्राफिकमा दुर्भावनापूर्ण गतिविधि लुकाउन प्रयोग गरिएका विधिहरू समावेश गर्दछ);
रस्ट मोड्युल विकास उपकरणहरू विकल्पहरूबाट आवश्यक मानक सुविधाहरूमा सारिएका छन्। भविष्यमा, यो परियोजनाको कोड आधारमा रस्टको प्रयोगलाई विस्तार गर्ने र रस्टमा विकसित एनालगहरूसँग बिस्तारै मोड्युलहरू प्रतिस्थापन गर्ने योजना छ;
प्रोटोकल पत्ता लगाउने इन्जिन सटीकता र एसिन्क्रोनस ट्राफिक प्रवाहहरूको ह्यान्डलिङको सन्दर्भमा सुधार गरिएको छ;
नयाँ रेकर्ड प्रकार, "विसंगति" को लागि EVE लगमा समर्थन थपिएको छ, जसले प्याकेटहरू डिकोड गर्दा पत्ता लागेका असामान्य घटनाहरू भण्डारण गर्दछ। EVE ले VLAN र ट्राफिक क्याप्चर इन्टरफेसहरूको बारेमा जानकारीको प्रदर्शनलाई पनि विस्तार गर्यो। EVE लग http प्रविष्टिहरूमा सबै HTTP हेडरहरू बचत गर्न विकल्प थपियो;
eBPF-आधारित ह्यान्डलरहरूले प्याकेट क्याप्चरको गति बढाउनको लागि हार्डवेयर संयन्त्रहरूको लागि समर्थन प्रदान गर्दछ। हार्डवेयर एक्सेलेरेशन हाल नेट्रोनोम नेटवर्क एडेप्टरहरूमा सीमित छ, तर चाँडै अन्य उपकरणहरूको लागि देखा पर्नेछ;
नेटम्याप फ्रेमवर्क प्रयोग गरेर ट्राफिक क्याप्चर गर्नको लागि पुन: लेखिएको कोड। भर्चुअल स्विच जस्ता उन्नत नेटम्याप सुविधाहरू प्रयोग गर्ने क्षमता थपियो घाटी;
थपियो स्टिकी बफरहरूको लागि नयाँ कीवर्ड परिभाषा योजनाको लागि समर्थन। नयाँ योजनालाई protocol.buffer ढाँचामा परिभाषित गरिएको छ, उदाहरणका लागि, URI आत्मपरीक्षण गर्न, कुञ्जी शब्द "http_uri" को सट्टा "http.uri" हुनेछ;
प्रयोग गरिएको सबै पाइथन कोड संग अनुकूलता को लागी परीक्षण गरिएको छ
पाइथन २.७;
Tilera आर्किटेक्चर, dns.log पाठ लग, र पुरानो files-json.log लग को लागि समर्थन बन्द गरिएको छ।

Suricata को विशेषताहरु:

प्रमाणीकरण परिणामहरू प्रदर्शन गर्न एक एकीकृत ढाँचा प्रयोग गर्दै एकीकृत २, Snort परियोजना द्वारा पनि प्रयोग गरिन्छ, जस्तै मानक विश्लेषण उपकरणहरूको प्रयोग गर्न अनुमति दिँदै बार्नयार्ड2। BASE, Snorby, Sguil र SQueRT उत्पादनहरूसँग एकीकृत गर्ने क्षमता। PCAP ढाँचामा आउटपुटको लागि समर्थन;
प्रोटोकलहरूको स्वचालित पहिचानको लागि समर्थन (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, आदि), जसले तपाईंलाई पोर्ट नम्बरको सन्दर्भ बिना नै प्रोटोकल प्रकार द्वारा नियमहरूमा काम गर्न अनुमति दिन्छ (उदाहरणका लागि। , गैर-मानक पोर्टमा HTTP ट्राफिक रोक्न)। HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP र SSH प्रोटोकलहरूको लागि डिकोडरहरू;
एक शक्तिशाली HTTP ट्राफिक विश्लेषण प्रणाली जसले HTTP ट्राफिकलाई पार्स र सामान्य बनाउन Mod_Security परियोजनाका लेखकद्वारा सिर्जना गरिएको विशेष HTP पुस्तकालय प्रयोग गर्दछ। ट्रान्जिट HTTP स्थानान्तरणको विस्तृत लग कायम राख्नको लागि मोड्युल उपलब्ध छ, लगलाई मानक ढाँचामा सुरक्षित गरिएको छ।
अपाचे। HTTP प्रोटोकल मार्फत स्थानान्तरण गरिएका फाइलहरूको निकासी र प्रमाणीकरण समर्थित छ। संकुचित सामग्री पार्सिङको लागि समर्थन। URI, कुकी, हेडर, प्रयोगकर्ता-एजेन्ट, अनुरोध/प्रतिक्रिया निकाय द्वारा पहिचान गर्ने क्षमता;
NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING सहित ट्राफिक अवरोध गर्नका लागि विभिन्न इन्टरफेसहरूको लागि समर्थन। PCAP ढाँचामा पहिले नै बचत गरिएका फाइलहरू विश्लेषण गर्न सम्भव छ;
उच्च प्रदर्शन, परम्परागत उपकरणहरूमा 10 गीगाबिट / सेकेन्ड सम्म स्ट्रिमहरू प्रशोधन गर्ने क्षमता।
आईपी ठेगानाहरूको ठूलो सेटको साथ उच्च प्रदर्शन मास्क मिल्दो इन्जिन। मास्क र नियमित अभिव्यक्ति द्वारा सामग्री चयनको लागि समर्थन। नाम, प्रकार वा MD5 चेकसमद्वारा तिनीहरूको पहिचान सहित ट्राफिकबाट फाइलहरू अलग गर्ने।
नियमहरूमा चरहरू प्रयोग गर्ने क्षमता: तपाईंले स्ट्रिमबाट जानकारी बचत गर्न सक्नुहुन्छ र पछि यसलाई अन्य नियमहरूमा प्रयोग गर्न सक्नुहुन्छ;
कन्फिगरेसन फाइलहरूमा YAML ढाँचा प्रयोग गर्दै, जसले तपाईंलाई मेसिन प्रशोधन गर्न सजिलोसँग दृश्यता कायम राख्न अनुमति दिन्छ;
पूर्ण IPv6 समर्थन;
स्वचालित डिफ्रेग्मेन्टेसन र प्याकेटहरूको पुन: संयोजनको लागि निर्मित इन्जिन, जसले स्ट्रिमहरूको सही प्रशोधन सुनिश्चित गर्न अनुमति दिन्छ, प्याकेटहरू जुनसुकै क्रममा आए पनि;
टनेलिङ प्रोटोकलहरूको लागि समर्थन: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
प्याकेट डिकोडिङ समर्थन: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, इथरनेट, PPP, PPPoE, कच्चा, SLL, VLAN;
TLS/SSL जडानहरू भित्र देखिने कुञ्जीहरू र प्रमाणपत्रहरूका लागि लगिङ मोड;
उन्नत विश्लेषण प्रदान गर्न र ट्राफिक प्रकारहरू पहिचान गर्न आवश्यक अतिरिक्त सुविधाहरू लागू गर्न लुआ स्क्रिप्टहरू लेख्ने क्षमता जसको लागि मानक नियमहरू पर्याप्त छैनन्।

स्रोत: opennet.ru

Suricata 5.0 आक्रमण पत्ता लगाउने प्रणाली उपलब्ध छ

एक टिप्पणी थप्न Отменить ответ