ProHoster > Blog > lajme në internet > Lëshimi i sistemit të zbulimit të ndërhyrjeve Suricata 6.0

Lëshimi i sistemit të zbulimit të ndërhyrjeve Suricata 6.0

Pas një viti zhvillimi, organizata OISF (Open Information Security Foundation). botuar lirimi i sistemit të zbulimit dhe parandalimit të ndërhyrjeve në rrjet Meerkat 6.0, i cili ofron mjete për inspektimin e llojeve të ndryshme të trafikut. Në konfigurimet Suricata është e mundur të përdoret bazat e të dhënave të nënshkrimit, zhvilluar nga projekti Snort, si dhe grupe rregullash Kërcënimet e shfaqura и Emerging Threats Pro. Burimet e projektit përhapet licencuar sipas GPLv2.

Ndryshimet kryesore:

  • Mbështetje fillestare për HTTP/2.
  • Mbështetje për protokollet RFB dhe MQTT, duke përfshirë aftësinë për të përcaktuar protokollin dhe për të mbajtur një regjistër.
  • Mundësia e regjistrimit për protokollin DCERPC.
  • Përmirësim i ndjeshëm në performancën e regjistrimit përmes nënsistemit EVE, i cili siguron daljen e ngjarjeve në formatin JSON. Përshpejtimi u arrit falë përdorimit të një ndërtuesi të ri të aksioneve JSON të shkruar në gjuhën Rust.
  • Shkallueshmëria e sistemit të regjistrit EVE është rritur dhe është zbatuar aftësia për të mbajtur një skedar të veçantë log për çdo thread.
  • Aftësia për të përcaktuar kushtet për rivendosjen e informacionit në regjistër.
  • Mundësia e pasqyrimit të adresave MAC në regjistrin EVE dhe rritja e detajeve të regjistrit DNS.
  • Përmirësimi i performancës së motorit të rrjedhës.
  • Mbështetje për identifikimin e zbatimeve SSH (HASSH).
  • Implementimi i dekoderit të tunelit GENEVE.
  • Kodi për përpunim është rishkruar në gjuhën Rust ASN.1, DCERPC dhe SSH. Rust gjithashtu mbështet protokolle të reja.
  • Në gjuhën e përcaktimit të rregullave, mbështetja për parametrin from_end i është shtuar fjalës kyçe byte_jump dhe mbështetja për parametrin bitmask është shtuar në byte_test. Zbatoi fjalën kyçe pcrexform për të lejuar përdorimin e shprehjeve të rregullta (pcre) për të kapur një nënvarg. U shtua konvertimi i kodit urld. Fjalë kyçe byte_math u shtua.
  • Ofron aftësinë për të përdorur cbindgen për të gjeneruar lidhje në gjuhët Rust dhe C.
  • U shtua mbështetje fillestare e shtojcave.

Karakteristikat e Suricata:

  • Përdorimi i një formati të unifikuar për të shfaqur rezultatet e skanimit Unifikuar2, i përdorur edhe nga projekti Snort, i cili lejon përdorimin e mjeteve standarde të analizës si p.sh hambar2. Mundësia e integrimit me produktet BASE, Snorby, Sguil dhe SQueRT. mbështetje e daljes PCAP;
  • Mbështetje për zbulimin automatik të protokolleve (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etj.), duke ju lejuar të veproni sipas rregullave vetëm sipas llojit të protokollit, pa iu referuar numrit të portit (për shembull, bllokoni HTTP trafiku në një port jo standard). Disponueshmëria e dekoderave për protokollet HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP dhe SSH;
  • Një sistem i fuqishëm i analizës së trafikut HTTP që përdor një bibliotekë të veçantë HTP të krijuar nga autori i projektit Mod_Security për të analizuar dhe normalizuar trafikun HTTP. Ekziston një modul për mbajtjen e një regjistri të detajuar të transfertave tranzit HTTP; regjistri ruhet në një format standard
    Apache. Mbështetet marrja dhe kontrollimi i skedarëve të transmetuar përmes HTTP. Mbështetje për analizimin e përmbajtjes së ngjeshur. Aftësia për të identifikuar nga URI, Cookie, headers, përdorues-agjent, trupi i kërkesës/përgjigjes;

  • Mbështetje për ndërfaqe të ndryshme për përgjimin e trafikut, duke përfshirë NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Është e mundur të analizohen skedarët e ruajtur tashmë në formatin PCAP;
  • Performancë e lartë, aftësi për të përpunuar flukse deri në 10 gigabit/sek në pajisjet konvencionale.
  • Mekanizmi i përputhjes së maskave me performancë të lartë për grupe të mëdha adresash IP. Mbështetje për zgjedhjen e përmbajtjes me maskë dhe shprehje të rregullta. Izolimi i skedarëve nga trafiku, duke përfshirë identifikimin e tyre me emër, lloj ose kontroll MD5.
  • Aftësia për të përdorur variabla në rregulla: mund të ruani informacionin nga një transmetim dhe më vonë ta përdorni në rregulla të tjera;
  • Përdorimi i formatit YAML në skedarët e konfigurimit, i cili ju lejon të ruani qartësinë duke qenë i lehtë për t'u përpunuar;
  • Mbështetje e plotë IPv6;
  • Motori i integruar për defragmentimin automatik dhe rimontimin e paketave, duke lejuar përpunimin e saktë të rrymave, pavarësisht nga radha në të cilën mbërrijnë paketat;
  • Mbështetje për protokollet e tunelit: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Mbështetje për dekodimin e paketave: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modaliteti për regjistrimin e çelësave dhe certifikatave që shfaqen brenda lidhjeve TLS/SSL;
  • Aftësia për të shkruar skripta në Lua për të ofruar analiza të avancuara dhe për të zbatuar aftësi shtesë të nevojshme për të identifikuar llojet e trafikut për të cilët rregullat standarde nuk janë të mjaftueshme.

Burimi: opennet.ru

Shto një koment