ProHoster > Blog > internetne novice > Izdaja sistema za zaznavanje vdorov Suricata 6.0

Izdaja sistema za zaznavanje vdorov Suricata 6.0

Po letu dni razvoja organizacija OISF (Open Information Security Foundation). objavljeno izdaja sistema za zaznavanje in preprečevanje vdorov v omrežje Meerkat 6.0, ki ponuja orodja za pregled različnih vrst prometa. V konfiguracijah Suricata je mogoče uporabiti podatkovne baze podpisov, ki ga je razvil projekt Snort, ter sklope pravil Nastajajoče grožnje и Emerging Threats Pro. Projektni viri širjenje licenciran pod GPLv2.

Večje spremembe:

  • Začetna podpora za HTTP/2.
  • Podpora za protokola RFB in MQTT, vključno z možnostjo definiranja protokola in vzdrževanja dnevnika.
  • Možnost beleženja za protokol DCERPC.
  • Znatno izboljšanje zmogljivosti beleženja prek podsistema EVE, ki zagotavlja izpis dogodkov v formatu JSON. Pospešek je bil dosežen zahvaljujoč uporabi novega graditelja zalog JSON, napisanega v jeziku Rust.
  • Razširljivost sistema dnevnikov EVE je bila povečana in uvedena je bila možnost vzdrževanja ločene datoteke dnevnika za vsako nit.
  • Možnost določitve pogojev za ponastavitev informacij v dnevnik.
  • Možnost prikaza naslovov MAC v dnevniku EVE in povečanja podrobnosti dnevnika DNS.
  • Izboljšanje delovanja pretočnega motorja.
  • Podpora za prepoznavanje izvedb SSH (HAŠ).
  • Implementacija tunelskega dekoderja GENEVE.
  • Koda za obdelavo je bila prepisana v jeziku Rust ASN.1, DCERPC in SSH. Rust podpira tudi nove protokole.
  • V jeziku za definiranje pravil je bila podpora za parameter from_end dodana ključni besedi byte_jump, podpora za parameter bitne maske pa je bila dodana v byte_test. Implementirana je ključna beseda pcrexform, ki omogoča uporabo regularnih izrazov (pcre) za zajemanje podniza. Dodana pretvorba urldecode. Dodana ključna beseda byte_math.
  • Omogoča uporabo cbindgen za generiranje vezav v jezikih Rust in C.
  • Dodana začetna podpora za vtičnike.

Lastnosti Suricata:

  • Uporaba poenotenega formata za prikaz rezultatov skeniranja Poenoteno2, ki ga uporablja tudi projekt Snort, ki omogoča uporabo standardnih orodij za analizo, kot je npr barnyard2. Možnost integracije z izdelki BASE, Snorby, Sguil in SQueRT. PCAP izhodna podpora;
  • Podpora za samodejno zaznavanje protokolov (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB itd.), kar vam omogoča, da v pravilih delujete samo glede na vrsto protokola, brez sklicevanja na številko vrat (na primer blokirajte HTTP promet na nestandardnih vratih). Razpoložljivost dekodirnikov za protokole HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP in SSH;
  • Zmogljiv sistem za analizo prometa HTTP, ki za razčlenjevanje in normalizacijo prometa HTTP uporablja posebno knjižnico HTP, ki jo je ustvaril avtor projekta Mod_Security. Na voljo je modul za vzdrževanje podrobnega dnevnika tranzitnih HTTP prenosov, dnevnik je shranjen v standardni obliki
    Apache. Podprto je pridobivanje in preverjanje datotek, poslanih prek HTTP. Podpora za razčlenjevanje stisnjene vsebine. Sposobnost identifikacije z URI, piškotkom, glavami, uporabniškim agentom, telesom zahteve/odgovora;

  • Podpora za različne vmesnike za prestrezanje prometa, vključno z NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Možna je analiza že shranjenih datotek v formatu PCAP;
  • Visoka zmogljivost, sposobnost obdelave tokov do 10 gigabitov/s na običajni opremi.
  • Visokozmogljiv mehanizem za ujemanje mask za velike nabore naslovov IP. Podpora za izbiro vsebine z masko in regularnimi izrazi. Izoliranje datotek od prometa, vključno z njihovo identifikacijo po imenu, vrsti ali kontrolni vsoti MD5.
  • Možnost uporabe spremenljivk v pravilih: lahko shranite informacije iz toka in jih pozneje uporabite v drugih pravilih;
  • Uporaba formata YAML v konfiguracijskih datotekah, ki vam omogoča ohranjanje jasnosti, hkrati pa je enostaven za strojno obdelavo;
  • Popolna podpora IPv6;
  • Vgrajen motor za samodejno defragmentacijo in ponovno sestavljanje paketov, ki omogoča pravilno obdelavo tokov, ne glede na vrstni red, v katerem paketi prispejo;
  • Podpora za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podpora za dekodiranje paketov: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način za beleženje ključev in potrdil, ki se pojavljajo v povezavah TLS/SSL;
  • Sposobnost pisanja skriptov v Lua za zagotavljanje napredne analize in implementacijo dodatnih zmogljivosti, potrebnih za identifikacijo vrst prometa, za katere standardna pravila ne zadostujejo.

Vir: opennet.ru

Dodaj komentar