ProHoster > BLOG > știri pe internet > Lansarea sistemului de detectare a intruziunilor Suricata 6.0

Lansarea sistemului de detectare a intruziunilor Suricata 6.0

După un an de dezvoltare, organizația OISF (Open Information Security Foundation). а publicat lansarea sistemului de detectare și prevenire a intruziunilor în rețea Meerkat 6.0, care oferă instrumente pentru inspectarea diferitelor tipuri de trafic. În configurațiile Suricata este posibil să se utilizeze baze de date de semnături, dezvoltat de proiectul Snort, precum și seturi de reguli Amenințări emergente и Amenințări emergente Pro. Sursele proiectului răspândire licențiat conform GPLv2.

Principalele modificări:

  • Suport inițial pentru HTTP/2.
  • Suport pentru protocoalele RFB și MQTT, inclusiv capacitatea de a defini protocolul și de a menține un jurnal.
  • Posibilitatea de logare pentru protocolul DCERPC.
  • Îmbunătățire semnificativă a performanței înregistrării prin subsistemul EVE, care oferă ieșire a evenimentelor în format JSON. Accelerarea a fost realizată datorită utilizării unui nou generator de stoc JSON scris în limbajul Rust.
  • Scalabilitatea sistemului de jurnal EVE a fost crescută și a fost implementată capacitatea de a menține un fișier jurnal separat pentru fiecare fir.
  • Abilitatea de a defini condițiile pentru resetarea informațiilor în jurnal.
  • Posibilitatea de a reflecta adrese MAC în jurnalul EVE și de a mări detaliile jurnalului DNS.
  • Îmbunătățirea performanței motorului de flux.
  • Suport pentru identificarea implementărilor SSH (HAȘȘ).
  • Implementarea decodorului de tunel GENEVE.
  • Codul pentru procesare a fost rescris în limba Rust ASN.1, DCERPC și SSH. Rust acceptă și noi protocoale.
  • În limbajul de definire a regulilor, suportul pentru parametrul from_end a fost adăugat la cuvântul cheie byte_jump, iar suportul pentru parametrul bitmask a fost adăugat la byte_test. S-a implementat cuvântul cheie pcrexform pentru a permite utilizarea expresiilor regulate (pcre) pentru a captura un subșir. S-a adăugat conversie urldecode. S-a adăugat cuvântul cheie byte_math.
  • Oferă posibilitatea de a utiliza cbindgen pentru a genera legături în limbajele Rust și C.
  • S-a adăugat suport inițial pentru plugin.

Caracteristicile Suricatei:

  • Utilizarea unui format unificat pentru a afișa rezultatele scanării Unificat2, folosit și de proiectul Snort, care permite utilizarea instrumentelor standard de analiză precum curte2. Posibilitatea de integrare cu produsele BASE, Snorby, Sguil și SQueRT. Suport de ieșire PCAP;
  • Suport pentru detectarea automată a protocoalelor (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB etc.), permițându-vă să operați în reguli numai după tipul de protocol, fără referire la numărul portului (de exemplu, blocați HTTP) trafic pe un port non-standard) . Disponibilitatea decodoarelor pentru protocoale HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP și SSH;
  • Un sistem puternic de analiză a traficului HTTP care utilizează o bibliotecă HTP specială creată de autorul proiectului Mod_Security pentru a analiza și a normaliza traficul HTTP. Este disponibil un modul pentru menținerea unui jurnal detaliat al transferurilor HTTP de tranzit; jurnalul este salvat într-un format standard
    Apache. Este acceptată preluarea și verificarea fișierelor transmise prin HTTP. Suport pentru analizarea conținutului comprimat. Abilitatea de a identifica prin URI, Cookie, antete, user-agent, corp de cerere/răspuns;

  • Suport pentru diverse interfețe pentru interceptarea traficului, inclusiv NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Este posibil să se analizeze fișierele deja salvate în format PCAP;
  • Performanță ridicată, capacitatea de a procesa fluxuri de până la 10 gigabiți/sec pe echipamente convenționale.
  • Mecanism de potrivire a măștilor de înaltă performanță pentru seturi mari de adrese IP. Suport pentru selectarea conținutului după mască și expresii regulate. Izolarea fișierelor din trafic, inclusiv identificarea lor după nume, tip sau suma de control MD5.
  • Abilitatea de a utiliza variabile în reguli: puteți salva informații dintr-un flux și ulterior le puteți utiliza în alte reguli;
  • Utilizarea formatului YAML în fișierele de configurare, ceea ce vă permite să păstrați claritatea, fiind în același timp ușor de prelucrat;
  • Suport IPv6 complet;
  • Motor încorporat pentru defragmentarea și reasamblarea automată a pachetelor, permițând procesarea corectă a fluxurilor, indiferent de ordinea în care sosesc pachetele;
  • Suport pentru protocoale de tunel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suport pentru decodarea pachetelor: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mod pentru înregistrarea cheilor și certificatelor care apar în conexiunile TLS/SSL;
  • Abilitatea de a scrie scripturi în Lua pentru a oferi analize avansate și pentru a implementa capabilități suplimentare necesare pentru a identifica tipurile de trafic pentru care regulile standard nu sunt suficiente.

Sursa: opennet.ru

Adauga un comentariu