ProHoster > Blog > warta internét > Suricata 5.0 Sistim deteksi serangan sadia

Suricata 5.0 Sistim deteksi serangan sadia

Organisasi OISF (Open Information Security Foundation) diterbitkeun ngaleupaskeun sistem deteksi intrusion sareng pencegahan jaringan Meerkat 5.0, nu nyadiakeun sarana inspecting rupa-rupa lalulintas. Dina konfigurasi Suricata, éta diidinan ngagunakeun dasar tanda tangan, dimekarkeun ku proyék Snort, kitu ogé susunan aturan Munculna Ancaman и Munculna Ancaman Pro. Kodeu sumber proyék nyebar dilisensikeun dina GPLv2.

Parobahan utama:

  • Ngawanohkeun parsing anyar jeung modul logging pikeun protokol
    RDP, SNMP sareng SIP ditulis dina Rust. Kamampuh log via subsistem EVE, nu nyadiakeun kaluaran acara dina format JSON, geus ditambahkeun kana modul parsing FTP;

  • Salian rojongan pikeun métode auténtikasi klien JA3 TLS diwanohkeun dina release saméméhna, rojongan pikeun métode JA3S, ngidinan dumasar kana spésifik rundingan sambungan sareng parameter anu ditangtukeun, nangtukeun parangkat lunak mana anu dianggo pikeun ngadamel sambungan (contona, éta ngamungkinkeun anjeun pikeun nangtoskeun panggunaan Tor sareng aplikasi khas anu sanés). JA3 ngamungkinkeun pikeun nangtukeun klien, sarta JA3S - server. Hasil tina katangtuan bisa dipaké dina basa netepkeun aturan jeung dina log;
  • Ditambahkeun kamampuan ékspérimén pikeun cocog sareng conto set data ageung, dilaksanakeun nganggo operasi énggal dataset jeung datarep. Salaku conto, fitur ieu tiasa dianggo pikeun milarian masker dina daptar hideung ageung kalayan jutaan éntri;
  • Modeu inspeksi HTTP nyadiakeun cakupan pinuh sadaya kaayaan nu dijelaskeun dina test suite HTTP Evader (contona, nyertakeun metode anu dianggo pikeun nyumputkeun kagiatan jahat dina lalu lintas);
  • Alat pamekaran modul karat parantos dipindahkeun tina pilihan kana fitur standar anu diperyogikeun. Dina mangsa nu bakal datang, éta rencanana rék dilegakeun pamakéan Rust dina dasar kode proyék sarta laun ngaganti modul jeung analogs dimekarkeun dina Rust;
  • Mesin deteksi protokol parantos ningkat dina hal akurasi sareng penanganan arus lalu lintas Asynchronous;
  • Rojongan geus ditambahkeun kana log EVE pikeun tipe rékaman anyar, "anomali", nu nyimpen acara atypical nu dideteksi nalika pakét anu decoded. EVE ogé ngalegaan tampilan inpormasi ngeunaan VLAN sareng antarmuka newak lalu lintas. Ditambahkeun pilihan pikeun ngahemat sadaya header HTTP dina éntri http log EVE;
  • pawang basis eBPF nyadiakeun rojongan pikeun mékanisme hardware pikeun accelerating pakét newak. Akselerasi hardware ayeuna dugi ka adapters jaringan Netronome, tapi baris geura-giru muncul pikeun parabot lianna;
  • Kodeu ditulis ulang pikeun néwak lalu lintas nganggo kerangka Netmap. Ditambahkeun kamampuan ngagunakeun fitur Netmap canggih sapertos saklar virtual Vale;
  • Ditambahkeun rojongan pikeun skéma harti keyword anyar pikeun Sticky Buffers. Skéma anyar didefinisikeun dina format protocol.buffer, contona, pikeun introspeksi URI, kecap konci bakal "http.uri" tinimbang "http_uri";
  • Kabéh kode Python dipaké diuji pikeun kasaluyuan jeung
    Python3;

  • Rojongan pikeun arsitéktur Tilera, log téks dns.log, sareng log files-json.log anu lami parantos dileungitkeun.

Keunggulan Suricata:

  • Ngagunakeun Format Ngahijikeun pikeun Témbongkeun Hasil Validasi ngahiji2, ogé dipaké ku proyék Snort, ngamungkinkeun pamakéan parabot analisis baku kayaning pakalangan2. Kamampuhan pikeun ngahijikeun sareng produk BASE, Snorby, Sguil sareng SQueRT. Rojongan pikeun kaluaran dina format PCAP;
  • Rojongan pikeun deteksi otomatis tina protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, jsb), nu ngidinan Anjeun pikeun beroperasi dina aturan ngan ku tipe protokol, tanpa rujukan ka nomer port (contona. , pikeun meungpeuk lalulintas HTTP dina port non-standar). Dekoder pikeun protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP sareng SSH;
  • Sistem analisis lalu lintas HTTP anu kuat anu ngagunakeun perpustakaan HTP khusus anu diciptakeun ku panulis proyék Mod_Security pikeun nga-parse sareng normalkeun lalu lintas HTTP. A modul geus sadia pikeun ngajaga log detil rupa transper transit HTTP, log disimpen dina format baku
    Apache. Ekstraksi sareng verifikasi file anu ditransfer via protokol HTTP dirojong. Rojongan pikeun parsing eusi dikomprés. Kamampuhan pikeun ngaidentipikasi ku URI, cookie, header, agén-pamaké, badan pamundut / réspon;

  • Rojongan pikeun sagala rupa panganteur pikeun intercepting lalulintas, kaasup NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Kasebut nyaéta dimungkinkeun pikeun nganalisis payil nu geus disimpen dina format PCAP;
  • Kinerja anu luhur, kamampuan ngolah aliran dugi ka 10 gigabit / detik dina alat konvensional.
  • Mesin cocog topéng kinerja tinggi sareng set ageung alamat IP. Rojongan pikeun pilihan eusi ku masker sareng ekspresi biasa. Separation of file ti lalulintas, kaasup idéntifikasi maranéhanana ku ngaran, tipe atawa MD5 checksum.
  • Kamampuhan pikeun ngagunakeun variabel dina aturan: anjeun tiasa nyimpen inpormasi tina aliran sareng engké dianggo dina aturan anu sanés;
  • Ngagunakeun format YAML dina file konfigurasi, nu ngidinan Anjeun pikeun ngajaga pisibilitas kalawan betah ngolah mesin;
  • rojongan IPv6 pinuh;
  • Diwangun-di engine pikeun defragmentation otomatis tur reassembly pakét, nu ngamungkinkeun pikeun mastikeun processing bener aliran, paduli urutan nu pakét anjog;
  • Rojongan pikeun protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Rojongan decoding pakét: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modeu logging pikeun konci sareng sertipikat anu muncul dina sambungan TLS/SSL;
  • Kamampuhan nulis skrip Lua pikeun nyadiakeun analisis canggih tur nerapkeun fitur tambahan diperlukeun pikeun ngaidentipikasi tipe lalulintas nu aturan baku teu cukup.

    • sumber: opennet.ru

Tambahkeun komentar