ProHoster > Blog > wiadomości internetowe > Wydanie systemu wykrywania włamań Suricata 6.0

Wydanie systemu wykrywania włamań Suricata 6.0

Po roku rozwoju organizacja OISF (Open Information Security Foundation). опубликовала udostępnienie systemu wykrywania i zapobiegania włamaniom sieciowym Meerkat 6.0, który udostępnia narzędzia do kontroli różnych rodzajów ruchu. W konfiguracjach Suricata istnieje możliwość zastosowania bazy podpisów, opracowany w ramach projektu Snort, a także zestawy reguł Pojawiające się zagrożenia и Pojawiające się zagrożenia Pro. Źródła projektu rozpowszechnianie się licencjonowany na licencji GPLv2.

Główne zmiany:

  • Początkowe wsparcie dla HTTP/2.
  • Obsługa protokołów RFB i MQTT, w tym możliwość definiowania protokołu i prowadzenia dziennika.
  • Możliwość logowania dla protokołu DCERPC.
  • Znacząca poprawa wydajności rejestrowania poprzez podsystem EVE, który udostępnia dane wyjściowe zdarzeń w formacie JSON. Przyspieszenie osiągnięto dzięki zastosowaniu nowego kreatora stocków JSON napisanego w języku Rust.
  • Zwiększono skalowalność systemu logów EVE i zaimplementowano możliwość utrzymywania osobnego pliku logu dla każdego wątku.
  • Możliwość zdefiniowania warunków resetowania informacji do logu.
  • Możliwość odzwierciedlenia adresów MAC w dzienniku EVE i zwiększenia szczegółowości dziennika DNS.
  • Poprawa wydajności silnika przepływowego.
  • Wsparcie identyfikacji wdrożeń SSH (HASSZ).
  • Implementacja dekodera tunelowego GENEVE.
  • Kod przetwarzania został przepisany w języku Rust ASN.1, DCERPC i SSH. Rust obsługuje także nowe protokoły.
  • W języku definicji reguł do słowa kluczowego byte_jump dodano obsługę parametru from_end, a do słowa kluczowego byte_test dodano obsługę parametru maski bitowej. Zaimplementowano słowo kluczowe pcrexform, aby umożliwić użycie wyrażeń regularnych (pcre) do przechwytywania podłańcucha. Dodano konwersję urldecode. Dodano słowo kluczowe byte_math.
  • Zapewnia możliwość użycia cbindgen do generowania powiązań w językach Rust i C.
  • Dodano początkową obsługę wtyczek.

Cechy Suricaty:

  • Używanie ujednoliconego formatu do wyświetlania wyników skanowania Zunifikowany2, wykorzystywany również przez projekt Snort, który pozwala na wykorzystanie standardowych narzędzi analitycznych takich jak podwórko2. Możliwość integracji z produktami BASE, Snorby, Sguil i SQueRT. obsługa wyjścia PCAP;
  • Obsługa automatycznego wykrywania protokołów (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB itp.), pozwalająca na działanie w regułach wyłącznie według typu protokołu, bez odniesienia do numeru portu (np. blokowanie HTTP ruch na niestandardowym porcie). Dostępność dekoderów dla protokołów HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH;
  • Potężny system analizy ruchu HTTP wykorzystujący specjalną bibliotekę HTP stworzoną przez autora projektu Mod_Security do analizowania i normalizacji ruchu HTTP. Dostępny jest moduł umożliwiający prowadzenie szczegółowego dziennika tranzytowych transferów HTTP, dziennik zapisywany jest w standardowym formacie
    Apacz. Obsługiwane jest pobieranie i sprawdzanie plików przesyłanych za pośrednictwem protokołu HTTP. Obsługa analizowania skompresowanej zawartości. Możliwość identyfikacji poprzez URI, plik cookie, nagłówki, klienta użytkownika, treść żądania/odpowiedzi;

  • Obsługa różnych interfejsów do przechwytywania ruchu, w tym NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Istnieje możliwość analizy już zapisanych plików w formacie PCAP;
  • Wysoka wydajność, możliwość przetwarzania przepływów do 10 gigabitów/s na konwencjonalnym sprzęcie.
  • Wysokowydajny mechanizm dopasowywania masek dla dużych zestawów adresów IP. Obsługa wybierania treści według maski i wyrażeń regularnych. Izolowanie plików od ruchu, w tym ich identyfikacja po nazwie, typie lub sumie kontrolnej MD5.
  • Możliwość wykorzystania zmiennych w regułach: możesz zapisać informacje ze strumienia i później wykorzystać je w innych regułach;
  • Zastosowanie formatu YAML w plikach konfiguracyjnych, co pozwala zachować przejrzystość przy jednoczesnej łatwości obróbki maszynowej;
  • Pełna obsługa protokołu IPv6;
  • Wbudowany silnik automatycznej defragmentacji i ponownego składania pakietów, pozwalający na prawidłowe przetwarzanie strumieni, niezależnie od kolejności nadejścia pakietów;
  • Obsługa protokołów tunelowania: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Obsługa dekodowania pakietów: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Tryb logowania kluczy i certyfikatów pojawiających się w ramach połączeń TLS/SSL;
  • Możliwość pisania skryptów w Lua zapewniających zaawansowaną analizę i implementację dodatkowych możliwości potrzebnych do identyfikacji typów ruchu, dla których standardowe reguły nie są wystarczające.

Źródło: opennet.ru

Dodaj komentarz