प्रोहोस्टर > Блог > इन्टरनेट समाचार > Suricata 6.0 घुसपैठ पत्ता लगाउने प्रणाली को रिलीज

Suricata 6.0 घुसपैठ पत्ता लगाउने प्रणाली को रिलीज

После года разработки организация OISF (Open Information Security Foundation) प्रकाशित नेटवर्क घुसपैठ पत्ता लगाउने र रोकथाम प्रणाली को रिलीज Meerkat ..०, जसले विभिन्न प्रकारका ट्राफिकहरू निरीक्षण गर्ने माध्यम प्रदान गर्दछ। Suricata कन्फिगरेसनमा, यो प्रयोग गर्न अनुमति छ हस्ताक्षर आधारहरू, Snort परियोजना द्वारा विकसित, साथै नियम को सेट उदीयमान खतराहरू и इमर्जिङ थ्रेट्स प्रो। परियोजना स्रोत कोड फैलने GPLv2 अन्तर्गत इजाजतपत्र प्राप्त।

मुख्य परिवर्तनहरू:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata को विशेषताहरु:

  • प्रमाणीकरण परिणामहरू प्रदर्शन गर्न एक एकीकृत ढाँचा प्रयोग गर्दै एकीकृत २, Snort परियोजना द्वारा पनि प्रयोग गरिन्छ, जस्तै मानक विश्लेषण उपकरणहरूको प्रयोग गर्न अनुमति दिँदै बार्नयार्ड2। BASE, Snorby, Sguil र SQueRT उत्पादनहरूसँग एकीकृत गर्ने क्षमता। PCAP ढाँचामा आउटपुटको लागि समर्थन;
  • प्रोटोकलहरूको स्वचालित पहिचानको लागि समर्थन (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, आदि), जसले तपाईंलाई पोर्ट नम्बरको सन्दर्भ बिना नै प्रोटोकल प्रकार द्वारा नियमहरूमा काम गर्न अनुमति दिन्छ (उदाहरणका लागि। , गैर-मानक पोर्टमा HTTP ट्राफिक रोक्न)। HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP र SSH प्रोटोकलहरूको लागि डिकोडरहरू;
  • एक शक्तिशाली HTTP ट्राफिक विश्लेषण प्रणाली जसले HTTP ट्राफिकलाई पार्स र सामान्य बनाउन Mod_Security परियोजनाका लेखकद्वारा सिर्जना गरिएको विशेष HTP पुस्तकालय प्रयोग गर्दछ। ट्रान्जिट HTTP स्थानान्तरणको विस्तृत लग कायम राख्नको लागि मोड्युल उपलब्ध छ, लगलाई मानक ढाँचामा सुरक्षित गरिएको छ।
    अपाचे। HTTP प्रोटोकल मार्फत स्थानान्तरण गरिएका फाइलहरूको निकासी र प्रमाणीकरण समर्थित छ। संकुचित सामग्री पार्सिङको लागि समर्थन। URI, कुकी, हेडर, प्रयोगकर्ता-एजेन्ट, अनुरोध/प्रतिक्रिया निकाय द्वारा पहिचान गर्ने क्षमता;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING सहित ट्राफिक अवरोध गर्नका लागि विभिन्न इन्टरफेसहरूको लागि समर्थन। PCAP ढाँचामा पहिले नै बचत गरिएका फाइलहरू विश्लेषण गर्न सम्भव छ;
  • उच्च प्रदर्शन, परम्परागत उपकरणहरूमा 10 गीगाबिट / सेकेन्ड सम्म स्ट्रिमहरू प्रशोधन गर्ने क्षमता।
  • आईपी ​​ठेगानाहरूको ठूलो सेटको साथ उच्च प्रदर्शन मास्क मिल्दो इन्जिन। मास्क र नियमित अभिव्यक्ति द्वारा सामग्री चयनको लागि समर्थन। नाम, प्रकार वा MD5 चेकसमद्वारा तिनीहरूको पहिचान सहित ट्राफिकबाट फाइलहरू अलग गर्ने।
  • नियमहरूमा चरहरू प्रयोग गर्ने क्षमता: तपाईंले स्ट्रिमबाट जानकारी बचत गर्न सक्नुहुन्छ र पछि यसलाई अन्य नियमहरूमा प्रयोग गर्न सक्नुहुन्छ;
  • कन्फिगरेसन फाइलहरूमा YAML ढाँचा प्रयोग गर्दै, जसले तपाईंलाई मेसिन प्रशोधन गर्न सजिलोसँग दृश्यता कायम राख्न अनुमति दिन्छ;
  • पूर्ण IPv6 समर्थन;
  • स्वचालित डिफ्रेग्मेन्टेसन र प्याकेटहरूको पुन: संयोजनको लागि निर्मित इन्जिन, जसले स्ट्रिमहरूको सही प्रशोधन सुनिश्चित गर्न अनुमति दिन्छ, प्याकेटहरू जुनसुकै क्रममा आए पनि;
  • टनेलिङ प्रोटोकलहरूको लागि समर्थन: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • प्याकेट डिकोडिङ समर्थन: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, इथरनेट, PPP, PPPoE, कच्चा, SLL, VLAN;
  • TLS/SSL जडानहरू भित्र देखिने कुञ्जीहरू र प्रमाणपत्रहरूका लागि लगिङ मोड;
  • उन्नत विश्लेषण प्रदान गर्न र ट्राफिक प्रकारहरू पहिचान गर्न आवश्यक अतिरिक्त सुविधाहरू लागू गर्न लुआ स्क्रिप्टहरू लेख्ने क्षमता जसको लागि मानक नियमहरू पर्याप्त छैनन्।

स्रोत: opennet.ru

एक टिप्पणी थप्न