ProHoster > Blog > balita sa internet > Paglabas ng Suricata 6.0 intrusion detection system

Paglabas ng Suricata 6.0 intrusion detection system

Pagkatapos ng isang taon ng pag-unlad, ang organisasyon ng OISF (Open Information Security Foundation). ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° paglabas ng network intrusion detection at prevention system Meerkat 6.0, na nagbibigay ng paraan ng pag-inspeksyon sa iba't ibang uri ng trapiko. Sa mga pagsasaayos ng Suricata, pinapayagan itong gamitin mga base ng lagda, na binuo ng proyekto ng Snort, pati na rin ang mga hanay ng mga panuntunan Mga Umuusbong na Banta ΠΈ Mga Umuusbong na Banta Pro. Source code ng proyekto kumalat lisensyado sa ilalim ng GPLv2.

Pangunahing pagbabago:

  • Paunang suporta para sa HTTP/2.
  • Suporta para sa mga protocol ng RFB at MQTT, kabilang ang kakayahang tukuyin ang protocol at mapanatili ang isang log.
  • Posibilidad ng pag-log para sa DCERPC protocol.
  • Malaking pagpapabuti sa pagganap ng pag-log sa pamamagitan ng EVE subsystem, na nagbibigay ng output ng event sa JSON na format. Ang acceleration ay nakamit salamat sa paggamit ng isang bagong JSON stock builder na nakasulat sa Rust language.
  • Ang scalability ng EVE log system ay nadagdagan at ang kakayahang magpanatili ng isang hiwalay na log file para sa bawat thread ay ipinatupad.
  • Kakayahang tukuyin ang mga kondisyon para sa pag-reset ng impormasyon sa log.
  • Kakayahang ipakita ang mga MAC address sa EVE log at dagdagan ang detalye ng DNS log.
  • Pagpapabuti ng pagganap ng daloy ng makina.
  • Suporta para sa pagtukoy ng mga pagpapatupad ng SSH (HASSH).
  • Pagpapatupad ng GENEVE tunnel decoder.
  • Ang code para sa pagproseso ay muling isinulat sa Rust na wika ASN.1, DCERPC at SSH. Sinusuportahan din ng kalawang ang mga bagong protocol.
  • Sa wika ng kahulugan ng panuntunan, ang suporta para sa from_end na parameter ay idinagdag sa byte_jump na keyword, at ang suporta para sa bitmask na parameter ay idinagdag sa byte_test. Ipinatupad ang pcrexform na keyword upang payagan ang mga regular na expression (pcre) na magamit upang makuha ang isang substring. Nagdagdag ng conversion ng urldecode. Idinagdag ang byte_math na keyword.
  • Nagbibigay ng kakayahang gumamit ng cbindgen upang bumuo ng mga binding sa Rust at C na mga wika.
  • Nagdagdag ng paunang suporta sa plugin.

Mga Tampok ng Suricata:

  • Paggamit ng Pinag-isang Format upang Ipakita ang Mga Resulta ng Pagpapatunay pinag-isa2, ginagamit din ng proyekto ng Snort, na nagpapahintulot sa paggamit ng mga karaniwang tool sa pagsusuri tulad ng barnyard2. Kakayahang isama sa mga produkto ng BASE, Snorby, Sguil at SQueRT. Suporta para sa output sa PCAP format;
  • Suporta para sa awtomatikong pagtuklas ng mga protocol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, atbp.), na nagpapahintulot sa iyo na gumana sa mga panuntunan ayon lamang sa uri ng protocol, nang walang reference sa numero ng port (halimbawa , upang harangan ang trapiko ng HTTP sa isang hindi karaniwang port) . Mga decoder para sa HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP at SSH na mga protocol;
  • Isang malakas na sistema ng pagsusuri sa trapiko ng HTTP na gumagamit ng isang espesyal na library ng HTP na ginawa ng may-akda ng proyekto ng Mod_Security upang i-parse at gawing normal ang trapiko ng HTTP. Ang isang module ay magagamit para sa pagpapanatili ng isang detalyadong log ng transit HTTP transfer, ang log ay naka-save sa isang karaniwang format
    Apache. Ang pagkuha at pag-verify ng mga file na inilipat sa pamamagitan ng HTTP protocol ay suportado. Suporta para sa pag-parse ng naka-compress na nilalaman. Kakayahang tumukoy sa pamamagitan ng URI, Cookie, mga header, user-agent, request/response body;

  • Suporta para sa iba't ibang interface para sa pagharang sa trapiko, kabilang ang NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Posibleng suriin ang mga naka-save na file sa PCAP na format;
  • Mataas na pagganap, ang kakayahang magproseso ng mga stream hanggang sa 10 gigabits / sec sa maginoo na kagamitan.
  • Mataas na pagganap ng mask na tumutugma sa engine na may malalaking hanay ng mga IP address. Suporta para sa pagpili ng nilalaman sa pamamagitan ng mask at mga regular na expression. Paghihiwalay ng mga file mula sa trapiko, kasama ang kanilang pagkakakilanlan sa pamamagitan ng pangalan, uri o MD5 checksum.
  • Kakayahang gumamit ng mga variable sa mga panuntunan: maaari mong i-save ang impormasyon mula sa stream at gamitin ito sa ibang pagkakataon sa iba pang mga panuntunan;
  • Gamit ang format na YAML sa mga configuration file, na nagbibigay-daan sa iyong mapanatili ang visibility nang madali sa pagproseso ng makina;
  • Buong suporta sa IPv6;
  • Built-in na engine para sa awtomatikong defragmentation at muling pagsasama-sama ng mga packet, na nagbibigay-daan upang matiyak ang tamang pagproseso ng mga stream, anuman ang pagkakasunud-sunod kung saan dumating ang mga packet;
  • Suporta para sa mga protocol ng tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suporta sa pag-decode ng packet: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Pag-log mode para sa mga susi at certificate na lumalabas sa loob ng mga koneksyon sa TLS/SSL;
  • Ang kakayahang magsulat ng mga script ng Lua upang magbigay ng advanced na pagsusuri at magpatupad ng mga karagdagang feature na kailangan para matukoy ang mga uri ng trapiko kung saan hindi sapat ang mga karaniwang panuntunan.

Pinagmulan: opennet.ru

Magdagdag ng komento