ProHoster > Blog > balita sa internet > Available ang Suricata 5.0 attack detection system

Available ang Suricata 5.0 attack detection system

Organization OISF (Open Information Security Foundation) ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° paglabas ng network intrusion detection at prevention system Meerkat 5.0, na nagbibigay ng paraan ng pag-inspeksyon sa iba't ibang uri ng trapiko. Sa mga pagsasaayos ng Suricata, pinapayagan itong gamitin mga base ng lagda, na binuo ng proyekto ng Snort, pati na rin ang mga hanay ng mga panuntunan Mga Umuusbong na Banta ΠΈ Mga Umuusbong na Banta Pro. Source code ng proyekto kumalat lisensyado sa ilalim ng GPLv2.

Pangunahing pagbabago:

  • Ipinakilala ang bagong pag-parse at pag-log module para sa mga protocol
    RDP, SNMP at SIP na nakasulat sa Rust. Ang kakayahang mag-log sa pamamagitan ng EVE subsystem, na nagbibigay ng output ng mga kaganapan sa JSON format, ay naidagdag sa FTP parsing module;

  • Bilang karagdagan sa suporta para sa JA3 TLS client authentication method na ipinakilala sa nakaraang release, suporta para sa pamamaraan JA3S, nagpapahintulot batay sa mga detalye ng negosasyon sa koneksyon at ang tinukoy na mga parameter, matukoy kung aling software ang ginagamit upang magtatag ng isang koneksyon (halimbawa, pinapayagan ka nitong matukoy ang paggamit ng Tor at iba pang karaniwang mga application). Ginagawang posible ng JA3 na tukuyin ang mga kliyente, at ang JA3S - mga server. Ang mga resulta ng pagpapasiya ay maaaring gamitin sa wika ng pagtatakda ng panuntunan at sa mga log;
  • Nagdagdag ng kakayahang pang-eksperimentong tumugma sa isang sample ng malalaking dataset, na ipinatupad gamit ang mga bagong operasyon dataset at datarep. Halimbawa, ang tampok ay naaangkop sa paghahanap ng mga maskara sa malalaking blacklist na may milyun-milyong mga entry;
  • Ang HTTP inspection mode ay nagbibigay ng buong saklaw ng lahat ng sitwasyong inilarawan sa test suite HTTP Evader (halimbawa, sumasaklaw sa mga paraan na ginagamit upang itago ang malisyosong aktibidad sa trapiko);
  • Ang mga tool sa pagbuo ng kalawang module ay inilipat mula sa mga opsyon patungo sa mga kinakailangang karaniwang feature. Sa hinaharap, pinlano na palawakin ang paggamit ng Rust sa code base ng proyekto at unti-unting palitan ang mga module ng mga analogue na binuo sa Rust;
  • Ang protocol detection engine ay napabuti sa mga tuntunin ng katumpakan at paghawak ng mga asynchronous na daloy ng trapiko;
  • Ang suporta ay idinagdag sa EVE log para sa isang bagong uri ng record, "anomalya", na nag-iimbak ng mga hindi tipikal na kaganapan na natukoy kapag ang mga packet ay na-decode. Pinalawak din ni EVE ang pagpapakita ng impormasyon tungkol sa mga VLAN at mga interface ng pagkuha ng trapiko. Nagdagdag ng opsyon upang i-save ang lahat ng HTTP header sa EVE log http entries;
  • Ang mga humahawak na nakabase sa eBPF ay nagbibigay ng suporta para sa mga mekanismo ng hardware para sa pagpapabilis ng pagkuha ng packet. Kasalukuyang limitado ang pagpapabilis ng hardware sa mga adaptor ng network ng Netronome, ngunit lalabas sa lalong madaling panahon para sa iba pang kagamitan;
  • Muling isinulat na code para sa pagkuha ng trapiko gamit ang Netmap framework. Nagdagdag ng kakayahang gumamit ng mga advanced na feature ng Netmap gaya ng virtual switch VALE;
  • Idinagdag suporta para sa isang bagong scheme ng kahulugan ng keyword para sa Sticky Buffers. Ang bagong scheme ay tinukoy sa protocol.buffer na format, halimbawa, upang introspect ang isang URI, ang keyword ay magiging "http.uri" sa halip na "http_uri";
  • Lahat ng Python code na ginamit ay nasubok para sa pagiging tugma sa
    Python3;

  • Ang suporta para sa arkitektura ng Tilera, ang dns.log text log, at ang lumang files-json.log log ay hindi na ipinagpatuloy.

Mga Tampok ng Suricata:

  • Paggamit ng Pinag-isang Format upang Ipakita ang Mga Resulta ng Pagpapatunay pinag-isa2, ginagamit din ng proyekto ng Snort, na nagpapahintulot sa paggamit ng mga karaniwang tool sa pagsusuri tulad ng barnyard2. Kakayahang isama sa mga produkto ng BASE, Snorby, Sguil at SQueRT. Suporta para sa output sa PCAP format;
  • Suporta para sa awtomatikong pagtuklas ng mga protocol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, atbp.), na nagpapahintulot sa iyo na gumana sa mga panuntunan ayon lamang sa uri ng protocol, nang walang reference sa numero ng port (halimbawa , upang harangan ang trapiko ng HTTP sa isang hindi karaniwang port) . Mga decoder para sa HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP at SSH na mga protocol;
  • Isang malakas na sistema ng pagsusuri sa trapiko ng HTTP na gumagamit ng isang espesyal na library ng HTP na ginawa ng may-akda ng proyekto ng Mod_Security upang i-parse at gawing normal ang trapiko ng HTTP. Ang isang module ay magagamit para sa pagpapanatili ng isang detalyadong log ng transit HTTP transfer, ang log ay naka-save sa isang karaniwang format
    Apache. Ang pagkuha at pag-verify ng mga file na inilipat sa pamamagitan ng HTTP protocol ay suportado. Suporta para sa pag-parse ng naka-compress na nilalaman. Kakayahang tumukoy sa pamamagitan ng URI, Cookie, mga header, user-agent, request/response body;

  • Suporta para sa iba't ibang interface para sa pagharang sa trapiko, kabilang ang NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Posibleng suriin ang mga naka-save na file sa PCAP na format;
  • Mataas na pagganap, ang kakayahang magproseso ng mga stream hanggang sa 10 gigabits / sec sa maginoo na kagamitan.
  • Mataas na pagganap ng mask na tumutugma sa engine na may malalaking hanay ng mga IP address. Suporta para sa pagpili ng nilalaman sa pamamagitan ng mask at mga regular na expression. Paghihiwalay ng mga file mula sa trapiko, kasama ang kanilang pagkakakilanlan sa pamamagitan ng pangalan, uri o MD5 checksum.
  • Kakayahang gumamit ng mga variable sa mga panuntunan: maaari mong i-save ang impormasyon mula sa stream at gamitin ito sa ibang pagkakataon sa iba pang mga panuntunan;
  • Gamit ang format na YAML sa mga configuration file, na nagbibigay-daan sa iyong mapanatili ang visibility nang madali sa pagproseso ng makina;
  • Buong suporta sa IPv6;
  • Built-in na engine para sa awtomatikong defragmentation at muling pagsasama-sama ng mga packet, na nagbibigay-daan upang matiyak ang tamang pagproseso ng mga stream, anuman ang pagkakasunud-sunod kung saan dumating ang mga packet;
  • Suporta para sa mga protocol ng tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suporta sa pag-decode ng packet: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Pag-log mode para sa mga susi at certificate na lumalabas sa loob ng mga koneksyon sa TLS/SSL;
  • Ang kakayahang magsulat ng mga script ng Lua upang magbigay ng advanced na pagsusuri at magpatupad ng mga karagdagang feature na kailangan para matukoy ang mga uri ng trapiko kung saan hindi sapat ang mga karaniwang panuntunan.

    • Pinagmulan: opennet.ru

Magdagdag ng komento