ProHoster > Blog > internetne novice > Na voljo je sistem za zaznavanje napadov Suricata 5.0

Na voljo je sistem za zaznavanje napadov Suricata 5.0

Organizacija OISF (Open Information Security Foundation) objavljeno izdaja sistema za zaznavanje in preprečevanje vdorov v omrežje Meerkat 5.0, ki ponuja orodja za pregled različnih vrst prometa. V konfiguracijah Suricata je mogoče uporabiti podatkovne baze podpisov, ki ga je razvil projekt Snort, ter sklope pravil Nastajajoče grožnje и Emerging Threats Pro. Projektni viri širjenje licenciran pod GPLv2.

Večje spremembe:

  • Uvedeni so bili novi moduli za razčlenjevanje in zapisovanje protokolov
    RDP, SNMP in SIP napisani v Rust. Možnost prijave prek podsistema EVE je bila dodana modulu za razčlenjevanje FTP, ki zagotavlja izpis dogodkov v formatu JSON;

  • Poleg podpore za metodo identifikacije odjemalca JA3 TLS, ki se je pojavila v zadnji izdaji, podpora za metodo JA3S, dopuščanje Na podlagi značilnosti pogajanja o povezavi in ​​podanih parametrov določite, katera programska oprema se uporablja za vzpostavitev povezave (na primer omogoča ugotavljanje uporabe Tor in drugih standardnih aplikacij). JA3 vam omogoča definiranje odjemalcev, JA3S pa vam omogoča definiranje strežnikov. Rezultate določanja je mogoče uporabiti v jeziku za nastavitev pravil in v dnevnikih;
  • Dodana eksperimentalna zmožnost ujemanja vzorcev iz velikih nizov podatkov, implementirana z novimi operacijami nabor podatkov in rep. Funkcija je na primer uporabna za iskanje mask na velikih črnih seznamih, ki vsebujejo milijone vnosov;
  • Način pregleda HTTP zagotavlja popolno pokritost vseh situacij, opisanih v testnem paketu HTTP Evader (npr. zajema tehnike, ki se uporabljajo za skrivanje zlonamerne dejavnosti v prometu);
  • Orodja za razvoj modulov v jeziku Rust so bila prenesena iz možnosti v obvezne standardne zmogljivosti. V prihodnosti je načrtovana razširitev uporabe Rusta v kodni bazi projekta in postopna zamenjava modulov z analogi, razvitimi v Rustu;
  • Mehanizem za definiranje protokola je bil izboljšan za izboljšanje natančnosti in obvladovanje asinhronih prometnih tokov;
  • V dnevnik EVE je bila dodana podpora za novo vrsto vnosa »anomalija«, ki shranjuje netipične dogodke, odkrite pri dekodiranju paketov. EVE je razširil tudi prikaz informacij o VLAN in vmesnikih za zajem prometa. Dodana možnost za shranjevanje vseh glav HTTP v vnose v dnevnik EVE http;
  • Upravljalniki, ki temeljijo na eBPF, zagotavljajo podporo za mehanizme strojne opreme za pospeševanje zajemanja paketov. Strojno pospeševanje je trenutno omejeno na omrežne kartice Netronome, vendar bo kmalu na voljo za drugo opremo;
  • Koda za zajem prometa z uporabo ogrodja Netmap je bila prepisana. Dodana možnost uporabe naprednih funkcij Netmap, kot je navidezno stikalo VALE;
  • Dodano podpora za novo shemo definiranja ključnih besed za Sticky Buffers. Nova shema je definirana v formatu "protocol.buffer", na primer, za pregledovanje URI bo ključna beseda imela obliko "http.uri" namesto "http_uri";
  • Vsa uporabljena koda Python je testirana glede združljivosti z
    Python 3;

  • Podpora za arhitekturo Tilera, besedilni dnevnik dns.log in stare datoteke dnevnika-json.log je bila ukinjena.

Lastnosti Suricata:

  • Uporaba poenotenega formata za prikaz rezultatov skeniranja Poenoteno2, ki ga uporablja tudi projekt Snort, ki omogoča uporabo standardnih orodij za analizo, kot je npr barnyard2. Možnost integracije z izdelki BASE, Snorby, Sguil in SQueRT. PCAP izhodna podpora;
  • Podpora za samodejno zaznavanje protokolov (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB itd.), kar vam omogoča, da v pravilih delujete samo glede na vrsto protokola, brez sklicevanja na številko vrat (na primer blokirajte HTTP promet na nestandardnih vratih). Razpoložljivost dekodirnikov za protokole HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP in SSH;
  • Zmogljiv sistem za analizo prometa HTTP, ki za razčlenjevanje in normalizacijo prometa HTTP uporablja posebno knjižnico HTP, ki jo je ustvaril avtor projekta Mod_Security. Na voljo je modul za vzdrževanje podrobnega dnevnika tranzitnih HTTP prenosov, dnevnik je shranjen v standardni obliki
    Apache. Podprto je pridobivanje in preverjanje datotek, poslanih prek HTTP. Podpora za razčlenjevanje stisnjene vsebine. Sposobnost identifikacije z URI, piškotkom, glavami, uporabniškim agentom, telesom zahteve/odgovora;

  • Podpora za različne vmesnike za prestrezanje prometa, vključno z NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Možna je analiza že shranjenih datotek v formatu PCAP;
  • Visoka zmogljivost, sposobnost obdelave tokov do 10 gigabitov/s na običajni opremi.
  • Visokozmogljiv mehanizem za ujemanje mask za velike nabore naslovov IP. Podpora za izbiro vsebine z masko in regularnimi izrazi. Izoliranje datotek od prometa, vključno z njihovo identifikacijo po imenu, vrsti ali kontrolni vsoti MD5.
  • Možnost uporabe spremenljivk v pravilih: lahko shranite informacije iz toka in jih pozneje uporabite v drugih pravilih;
  • Uporaba formata YAML v konfiguracijskih datotekah, ki vam omogoča ohranjanje jasnosti, hkrati pa je enostaven za strojno obdelavo;
  • Popolna podpora IPv6;
  • Vgrajen motor za samodejno defragmentacijo in ponovno sestavljanje paketov, ki omogoča pravilno obdelavo tokov, ne glede na vrstni red, v katerem paketi prispejo;
  • Podpora za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podpora za dekodiranje paketov: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način za beleženje ključev in potrdil, ki se pojavljajo v povezavah TLS/SSL;
  • Sposobnost pisanja skriptov v Lua za zagotavljanje napredne analize in implementacijo dodatnih zmogljivosti, potrebnih za identifikacijo vrst prometa, za katere standardna pravila ne zadostujejo.

    • Vir: opennet.ru

Dodaj komentar