ProHoster > Blog > warta internét > Ngaleupaskeun sistem deteksi intrusion Suricata 6.0

Ngaleupaskeun sistem deteksi intrusion Suricata 6.0

Saatos sataun pangwangunan, organisasi OISF (Open Information Security Foundation). diterbitkeun ngaleupaskeun sistem deteksi intrusion sareng pencegahan jaringan Meerkat 6.0, nu nyadiakeun sarana inspecting rupa-rupa lalulintas. Dina konfigurasi Suricata, éta diidinan ngagunakeun dasar tanda tangan, dimekarkeun ku proyék Snort, kitu ogé susunan aturan Munculna Ancaman и Munculna Ancaman Pro. Kodeu sumber proyék nyebar dilisensikeun dina GPLv2.

Parobahan utama:

  • Rojongan awal pikeun HTTP / 2.
  • Rojongan pikeun protokol RFB sareng MQTT, kalebet kamampuan pikeun ngartikeun protokol sareng ngajaga log.
  • Kamungkinan logging pikeun protokol DCERPC.
  • Perbaikan signifikan dina kinerja logging ngaliwatan subsistem EVE, nu nyadiakeun kaluaran acara dina format JSON. Akselerasi ieu kahontal berkat pamakéan JSON stock pembina anyar ditulis dina basa Rust.
  • Skalabilitas sistem log EVE parantos ningkat sareng kamampuan pikeun ngajaga file log anu misah pikeun unggal benang parantos dilaksanakeun.
  • Kamampuhan pikeun nangtukeun kaayaan pikeun ngareset inpormasi kana log.
  • Kamungkinan ngagambarkeun alamat MAC dina log EVE sareng ningkatkeun detil log DNS.
  • Ningkatkeun kinerja mesin aliran.
  • Rojongan pikeun ngaidentipikasi palaksanaan SSH (HASSH).
  • Palaksanaan decoder torowongan GENEVE.
  • Kode pikeun ngolah geus ditulis ulang dina basa Rust ASN.1, DCERPC jeung SSH. Rust ogé ngadukung protokol énggal.
  • Dina basa harti aturan, rojongan pikeun parameter from_end geus ditambahkeun kana byte_jump keyword, sarta rojongan pikeun parameter bitmask geus ditambahkeun kana byte_test. Dilaksanakeun kecap konci pcrexform pikeun ngamungkinkeun éksprési biasa (pcre) dianggo pikeun moto substring. Ditambahkeun konvérsi urldecode. Ditambahkeun kecap konci byte_math.
  • Nyadiakeun kamampuh ngagunakeun cbindgen pikeun ngahasilkeun bindings dina Rust jeung basa C.
  • Ditambahkeun dukungan plugin awal.

Keunggulan Suricata:

  • Ngagunakeun Format Ngahijikeun pikeun Témbongkeun Hasil Validasi ngahiji2, ogé dipaké ku proyék Snort, ngamungkinkeun pamakéan parabot analisis baku kayaning pakalangan2. Kamampuhan pikeun ngahijikeun sareng produk BASE, Snorby, Sguil sareng SQueRT. Rojongan pikeun kaluaran dina format PCAP;
  • Rojongan pikeun deteksi otomatis tina protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, jsb), nu ngidinan Anjeun pikeun beroperasi dina aturan ngan ku tipe protokol, tanpa rujukan ka nomer port (contona. , pikeun meungpeuk lalulintas HTTP dina port non-standar). Dekoder pikeun protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP sareng SSH;
  • Sistem analisis lalu lintas HTTP anu kuat anu ngagunakeun perpustakaan HTP khusus anu diciptakeun ku panulis proyék Mod_Security pikeun nga-parse sareng normalkeun lalu lintas HTTP. A modul geus sadia pikeun ngajaga log detil rupa transper transit HTTP, log disimpen dina format baku
    Apache. Ekstraksi sareng verifikasi file anu ditransfer via protokol HTTP dirojong. Rojongan pikeun parsing eusi dikomprés. Kamampuhan pikeun ngaidentipikasi ku URI, cookie, header, agén-pamaké, badan pamundut / réspon;

  • Rojongan pikeun sagala rupa panganteur pikeun intercepting lalulintas, kaasup NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Kasebut nyaéta dimungkinkeun pikeun nganalisis payil nu geus disimpen dina format PCAP;
  • Kinerja anu luhur, kamampuan ngolah aliran dugi ka 10 gigabit / detik dina alat konvensional.
  • Mesin cocog topéng kinerja tinggi sareng set ageung alamat IP. Rojongan pikeun pilihan eusi ku masker sareng ekspresi biasa. Separation of file ti lalulintas, kaasup idéntifikasi maranéhanana ku ngaran, tipe atawa MD5 checksum.
  • Kamampuhan pikeun ngagunakeun variabel dina aturan: anjeun tiasa nyimpen inpormasi tina aliran sareng engké dianggo dina aturan anu sanés;
  • Ngagunakeun format YAML dina file konfigurasi, nu ngidinan Anjeun pikeun ngajaga pisibilitas kalawan betah ngolah mesin;
  • rojongan IPv6 pinuh;
  • Diwangun-di engine pikeun defragmentation otomatis tur reassembly pakét, nu ngamungkinkeun pikeun mastikeun processing bener aliran, paduli urutan nu pakét anjog;
  • Rojongan pikeun protokol tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Rojongan decoding pakét: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modeu logging pikeun konci sareng sertipikat anu muncul dina sambungan TLS/SSL;
  • Kamampuhan nulis skrip Lua pikeun nyadiakeun analisis canggih tur nerapkeun fitur tambahan diperlukeun pikeun ngaidentipikasi tipe lalulintas nu aturan baku teu cukup.

sumber: opennet.ru

Tambahkeun komentar