ProHoster > blogg > internetnyheter > Utgivning av Suricata 6.0 intrångsdetekteringssystem

Utgivning av Suricata 6.0 intrångsdetekteringssystem

Efter ett år av utveckling, organisationen OISF (Open Information Security Foundation). опубликовала lansering av system för upptäckt och förebyggande av nätverksintrång Meerkat 6.0, vilket ger ett sätt att inspektera olika typer av trafik. I Suricata-konfigurationer är det tillåtet att använda signaturbaser, utvecklad av Snort-projektet, samt uppsättningar av regler Framväxande hot и Emerging Threats Pro. Projektets källkod sprida licensierad under GPLv2.

Huvudändringar:

  • Initialt stöd för HTTP/2.
  • Stöd för RFB- och MQTT-protokoll, inklusive möjligheten att definiera protokollet och underhålla en logg.
  • Möjlighet att logga för DCERPC-protokollet.
  • Betydande förbättring av loggningsprestanda genom EVE-delsystemet, som ger händelseutdata i JSON-format. Accelerationen uppnåddes tack vare användningen av en ny JSON lagerbyggare skriven på språket Rust.
  • Skalbarheten för EVE-loggsystemet har ökat och möjligheten att upprätthålla en separat loggfil för varje tråd har implementerats.
  • Möjlighet att definiera villkor för återställning av information till loggen.
  • Möjlighet att reflektera MAC-adresser i EVE-loggen och öka detaljerna i DNS-loggen.
  • Förbättring av flödesmotorns prestanda.
  • Stöd för att identifiera SSH-implementeringar (HASSH).
  • Implementering av GENEVE-tunnelavkodaren.
  • Koden för bearbetning har skrivits om på språket Rust ASN.1, DCERPC och SSH. Rust stöder också nya protokoll.
  • I regeldefinitionsspråket har stöd för parametern from_end lagts till i nyckelordet byte_jump, och stöd för bitmaskparametern har lagts till byte_test. Implementerade nyckelordet pcrexform för att tillåta reguljära uttryck (pcre) att användas för att fånga en delsträng. Lade till urldekodkonvertering. Lade till byte_math nyckelord.
  • Ger möjligheten att använda cbindgen för att generera bindningar i Rust- och C-språk.
  • Lade till initialt plugin-stöd.

Funktioner hos Suricata:

  • Använda ett enhetligt format för att visa valideringsresultat enat 2, som också används av Snort-projektet, vilket tillåter användning av standardanalysverktyg som t.ex ladugård 2. Möjlighet att integrera med produkter från BASE, Snorby, Sguil och SQueRT. Stöd för utdata i PCAP-format;
  • Stöd för automatisk upptäckt av protokoll (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), vilket gör att du kan arbeta i reglerna endast efter protokolltypen, utan hänvisning till portnumret (till exempel , för att blockera HTTP-trafik på en icke-standardport) . Avkodare för HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP och SSH-protokoll;
  • Ett kraftfullt HTTP-trafikanalyssystem som använder ett speciellt HTP-bibliotek skapat av författaren till Mod_Security-projektet för att analysera och normalisera HTTP-trafik. En modul är tillgänglig för att upprätthålla en detaljerad logg över HTTP-överföringar för transit, loggen sparas i ett standardformat
    Apache. Extrahering och verifiering av filer som överförs via HTTP-protokollet stöds. Stöd för att analysera komprimerat innehåll. Möjlighet att identifiera med URI, Cookie, rubriker, användaragent, begäran/svarskropp;

  • Stöd för olika gränssnitt för att avlyssna trafik, inklusive NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det är möjligt att analysera redan sparade filer i PCAP-format;
  • Hög prestanda, förmågan att bearbeta strömmar upp till 10 gigabit/sek på konventionell utrustning.
  • Högpresterande maskmatchningsmotor med stora uppsättningar av IP-adresser. Stöd för innehållsval med mask och reguljära uttryck. Separation av filer från trafik, inklusive deras identifiering med namn, typ eller MD5-kontrollsumma.
  • Möjlighet att använda variabler i regler: du kan spara information från strömmen och senare använda den i andra regler;
  • Använda YAML-formatet i konfigurationsfiler, vilket gör att du kan bibehålla synlighet med enkel maskinbearbetning;
  • Fullständigt IPv6-stöd;
  • Inbyggd motor för automatisk defragmentering och återmontering av paket, vilket gör det möjligt att säkerställa korrekt bearbetning av strömmar, oavsett i vilken ordning paketen anländer;
  • Stöd för tunnlingsprotokoll: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Stöd för paketavkodning: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Loggningsläge för nycklar och certifikat som visas inom TLS/SSL-anslutningar;
  • Möjligheten att skriva Lua-skript för att tillhandahålla avancerad analys och implementera ytterligare funktioner som behövs för att identifiera trafiktyper för vilka standardregler inte räcker.

Källa: opennet.ru

Lägg en kommentar