ProHoster > Blog > notícias da internet > Lançamento do sistema de detecção de intrusão Suricata 6.0

Lançamento do sistema de detecção de intrusão Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) publicado lançamento do sistema de detecção e prevenção de invasões de rede Meerkat 6.0, que fornece ferramentas para inspecionar diversos tipos de tráfego. Nas configurações Suricata é possível usar bancos de dados de assinatura, desenvolvido pelo projeto Snort, bem como conjuntos de regras Ameaças Emergentes и Profissional de ameaças emergentes. Fontes do projeto espalhar licenciado sob GPLv2.

Grandes mudanças:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Características da Suricata:

  • Usando um formato unificado para exibir resultados de verificação Unificado2, também utilizado pelo projeto Snort, que permite a utilização de ferramentas de análise padrão como curral2. Possibilidade de integração com produtos BASE, Snorby, Sguil e SQueRT. Suporte de saída PCAP;
  • Suporte para detecção automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), permitindo operar em regras apenas por tipo de protocolo, sem referência ao número da porta (por exemplo, bloquear HTTP tráfego em uma porta não padrão). Disponibilidade de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
  • Um poderoso sistema de análise de tráfego HTTP que usa uma biblioteca HTP especial criada pelo autor do projeto Mod_Security para analisar e normalizar o tráfego HTTP. Um módulo está disponível para manter um registro detalhado de transferências HTTP de trânsito; o registro é salvo em um formato padrão
    Apache. A recuperação e verificação de arquivos transmitidos via HTTP são suportadas. Suporte para análise de conteúdo compactado. Capacidade de identificar por URI, Cookie, cabeçalhos, agente de usuário, corpo de solicitação/resposta;

  • Suporte para diversas interfaces para interceptação de tráfego, incluindo NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. É possível analisar arquivos já salvos no formato PCAP;
  • Alto desempenho, capacidade de processar fluxos de até 10 gigabits/seg em equipamentos convencionais.
  • Mecanismo de correspondência de máscara de alto desempenho para grandes conjuntos de endereços IP. Suporte para seleção de conteúdo por máscara e expressões regulares. Isolar arquivos do tráfego, incluindo sua identificação por nome, tipo ou soma de verificação MD5.
  • Capacidade de usar variáveis ​​em regras: você pode salvar informações de um fluxo e posteriormente utilizá-las em outras regras;
  • Utilização do formato YAML nos arquivos de configuração, que permite manter a clareza e ao mesmo tempo facilitar o processo de usinagem;
  • Suporte completo a IPv6;
  • Motor integrado para desfragmentação e remontagem automática de pacotes, permitindo o correto processamento dos fluxos, independente da ordem de chegada dos pacotes;
  • Suporte para protocolos de tunelamento: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suporte para decodificação de pacotes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modo para registrar chaves e certificados que aparecem em conexões TLS/SSL;
  • A capacidade de escrever scripts em Lua para fornecer análises avançadas e implementar recursos adicionais necessários para identificar tipos de tráfego para os quais as regras padrão não são suficientes.

Fonte: opennet.ru

Adicionar um comentário