ProHoster > blog > habari za mtandao > Kutolewa kwa mfumo wa kugundua uvamizi wa Suricata 6.0

Kutolewa kwa mfumo wa kugundua uvamizi wa Suricata 6.0

ПослС Π³ΠΎΠ΄Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ организация OISF (Open Information Security Foundation) ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° kutolewa kwa mfumo wa kugundua uingiliaji wa mtandao na kuzuia Meerkat 6.0, ambayo hutoa zana za kukagua aina mbalimbali za trafiki. Katika usanidi wa Suricata inawezekana kutumia hifadhidata za saini, iliyotengenezwa na mradi wa Snort, pamoja na seti za sheria Vitisho Vinavyojitokeza ΠΈ Vitisho vinavyojitokeza Pro. Vyanzo vya mradi kuenea iliyopewa leseni chini ya GPLv2.

Mabadiliko kuu:

  • ΠΠ°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTP/2.
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² RFB ΠΈ MQTT, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ΠΈ вСдСния Π»ΠΎΠ³Π°.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния Π»ΠΎΠ³Π° для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° DCERPC.
  • Π—Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ вСдСния Π»ΠΎΠ³Π° Ρ‡Π΅Ρ€Π΅Π· подсистСму EVE, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ Π²Ρ‹Π²ΠΎΠ΄ событий Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON. УскорСниС достигнуто благодаря Π·Π°Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΡŽ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΏΠΎΡΡ‚Ρ€ΠΎΠΈΡ‚Π΅Π»ΡŒ сток JSON, написанного Π½Π° языкС Rust.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π° ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ систСмы Π»ΠΎΠ³ΠΎΠ² EVE ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ вСдСния ΠΎΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»Π° Π½Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ опрСдСлСния условий для сброса свСдСний Π² Π»ΠΎΠ³.
  • Π’ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ отраТСния MAC-адрСсов Π² Π»ΠΎΠ³Π΅ EVE ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ Π΄Π΅Ρ‚Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π»ΠΎΠ³Π° DNS.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π΄Π²ΠΈΠΆΠΊΠ° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ² (flow engine).
  • ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ SSH (HASSH).
  • РСализация Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ GENEVE.
  • На языкС Rust пСрСписан ΠΊΠΎΠ΄ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ASN.1, DCERPC ΠΈ SSH. На Rust Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½ΠΎΠ²Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ².
  • Π’ языкС опрСдСлСния ΠΏΡ€Π°Π²ΠΈΠ» Π² ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΌ словС byte_jump Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° from_end, Π° Π² byte_test β€” ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° bitmask. Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово pcrexform, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ рСгулярныС выраТСния (pcre) для Π·Π°Ρ…Π²Π°Ρ‚Π° подстроки. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΏΡ€Π΅ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Π½ΠΈΠ΅ urldecode. Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠ΅ слово byte_math.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½ΠΈΡ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования cbindgen для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ привязок Π½Π° языках Rust ΠΈ C.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π½Π°Ρ‡Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ².

Vipengele vya Suricata:

  • Kwa kutumia umbizo lililounganishwa ili kuonyesha matokeo ya uchanganuzi Umoja2, pia hutumiwa na mradi wa Snort, ambayo inaruhusu matumizi ya zana za uchambuzi wa kawaida kama vile bustani2. Uwezekano wa kuunganishwa na bidhaa za BASE, Snorby, Sguil na SQueRT. msaada wa pato la PCAP;
  • Usaidizi wa ugunduzi wa kiotomatiki wa itifaki (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, n.k.), hukuruhusu kufanya kazi kwa sheria tu kwa aina ya itifaki, bila kutaja nambari ya bandari (kwa mfano, kuzuia HTTP. trafiki kwenye bandari isiyo ya kawaida) . Upatikanaji wa avkodare za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP na itifaki za SSH;
  • Mfumo madhubuti wa uchanganuzi wa trafiki wa HTTP unaotumia maktaba maalum ya HTP iliyoundwa na mwandishi wa mradi wa Mod_Security kuchanganua na kuhalalisha trafiki ya HTTP. Sehemu inapatikana kwa ajili ya kudumisha kumbukumbu ya kina ya uhamishaji wa HTTP; kumbukumbu huhifadhiwa katika umbizo la kawaida
    Apache. Kurejesha na kuangalia faili zinazotumwa kupitia HTTP kunatumika. Usaidizi wa kuchanganua maudhui yaliyobanwa. Uwezo wa kutambua kwa URI, Cookie, vichwa, wakala wa mtumiaji, shirika la ombi/majibu;

  • Usaidizi wa violesura mbalimbali vya kukatiza trafiki, ikiwa ni pamoja na NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Inawezekana kuchambua faili zilizohifadhiwa tayari katika muundo wa PCAP;
  • Utendaji wa juu, uwezo wa kusindika hutiririka hadi gigabiti 10 kwa sekunde kwenye vifaa vya kawaida.
  • Utaratibu wa kulinganisha vinyago vya utendaji wa juu kwa seti kubwa za anwani za IP. Usaidizi wa kuchagua maudhui kwa kutumia barakoa na misemo ya kawaida. Kutenga faili kutoka kwa trafiki, ikijumuisha utambulisho wao kwa jina, aina au ukaguzi wa MD5.
  • Uwezo wa kutumia vigezo katika sheria: unaweza kuhifadhi habari kutoka kwa mkondo na baadaye uitumie katika sheria zingine;
  • Matumizi ya umbizo la YAML katika faili za usanidi, ambayo hukuruhusu kudumisha uwazi huku ukiwa rahisi kuchakata kwa mashine;
  • Usaidizi kamili wa IPv6;
  • Injini iliyojengwa kwa uharibifu wa moja kwa moja na kuunganisha tena pakiti, kuruhusu usindikaji sahihi wa mito, bila kujali utaratibu ambao pakiti hufika;
  • Msaada kwa itifaki za tunnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Usaidizi wa kusimbua pakiti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Hali ya funguo za kuweka kumbukumbu na vyeti vinavyoonekana ndani ya miunganisho ya TLS/SSL;
  • Uwezo wa kuandika hati katika Lua ili kutoa uchanganuzi wa hali ya juu na kutekeleza uwezo wa ziada unaohitajika kutambua aina za trafiki ambazo sheria za kawaida hazitoshi.

Chanzo: opennet.ru

Kuongeza maoni