Систем за анализу саобраћаја и детекцију упада у мрежу Zeek 8.0.0, раније дистрибуиран под називом Bro, је објављен. Zeek је платформа за анализу саобраћаја првенствено фокусирана на праћење догађаја везаних за безбедност, али није ограничена на ову апликацију. Системски код је написан у C++ и дистрибуиран је под BSD лиценцом.
Платформа пружа модуле за анализу и парсирање различитих мрежних протокола на нивоу апликације који узимају у обзир статус везе и омогућавају формирање детаљног дневника (архиве) мрежне активности. За писање сценарија праћења и откривање аномалија нуди се језик специфичан за домен, узимајући у обзир специфичности специфичних инфраструктура. Систем је оптимизован за употребу у мрежама великог пропусног опсега. Обезбеђен је API за интеграцију са информационим системима трећих страна и размену података у реалном времену.
У новом броју Зеек-а:
- Додата је могућност конфигурисања идентификатора корпе мрежног тока путем додатака. Да би се избегле колизије приликом раздвајања токова у сложеним мрежама, поред тога IP адресе, бројеви портова и протокол сада могу узети у обзир додатни контекст, као што су VLAN ознаке или енкапсулирани идентификатори саобраћаја за VXLAN и Geneve.
- Нови кластерски бекенд базиран на ZeroMQ-у, који дефинише начин интеракције између чворова кластера и формат серијализације података, спреман је за употребу на продукционим системима. Брокерски бекенд се и даље користи подразумевано, али у будућности је планиран прелазак на подразумевани ZeroMQ бекенд, који вам омогућава да радите без проксија приликом дистрибуције емитованих порука између чворова. Прикупљање телеметрије о раду кластера је поједностављено, што вам омогућава праћење оптерећења на чворовима, без обзира на коришћени бекенд.
- Додат је парсер за Redis DBMS протокол и омогућено је евидентирање пресретнутих операција.
- SMTP анализатор подржава издвајање имејл порука (RFC 822) из саобраћаја и њихово прослеђивање анализатору датотека, који се може користити за чување пресретнутих имејлова на диску као датотека у .eml формату.
- Додата је подршка за AUTH TLS екстензију FTP анализатору.
- DNS анализатор сада препознаје NAPTR записе.
- PPPoE анализатор сада има могућност приказивања ИД-ова сесија.
- Уместо одвојених логова analyzer.log и dpd.log, користи се заједнички log analyzer.log.
- Генератор протокола и парсера датотека је ажуриран на Spicy 1.14, што уводи нове оптимизације и уклања неискоришћене параметре функција.
- Сада је могуће променити формат евидентирања помоћу пакета logschema (на пример, можете користити JSON или CSV уместо традиционалних текстуалних евидентирања).
- За изградњу пројекта сада је потребан компајлер који подржава стандард C++20. Минималне подржане верзије су GCC 10, Clang 8 и Visual Studio 2022.
Поред тога, можемо напоменути објављивање Nmap 7.98 скенера мрежне безбедности, дизајнираног за ревизију мреже и идентификацију активних мрежних сервиса. Код пројекта је обезбеђен под NPSL (Nmap Public Source License), заснованом на GPLv2 лиценци, која је допуњена препорукама (не захтевима) за коришћење OEM програма лиценцирања и куповину комерцијалне лиценце ако произвођач не жели да отвори код свог производа у складу са захтевима копилефт лиценце или намерава да интегрише Nmap у производе који нису компатибилни са GPL лиценцом.
Нмап 7.98 првенствено садржи исправке грешака. На пример, дошло је до пада програма приликом коришћења нмапа са неким ВПН-интерфејси. Међу функционалним променама, вредно је пажње додавање NSE повезивања за коришћење libssh2 функција у Nmap скриптама за аутоматизацију. DNS резолвер је оптимизован. Подршка за шифре коришћене у TLSv1.3, укључујући постквантне пакете шифара, додата је у библиотеку tls.lua. OpenSSL 3.0.17, Lua 5.4.8 и Npcap 1.83, који се користе у финалним верзијама, су ажурирани.
Извор: опеннет.ру
