ProHoster > Blog > internet haberleri > Suricata 5.0 saldırı tespit sistemi mevcut

Suricata 5.0 saldırı tespit sistemi mevcut

Organizasyon OISF (Açık Bilgi Güvenliği Vakfı) yayınlanan ağ saldırı tespit ve önleme sisteminin piyasaya sürülmesi Mirket 5.0çeşitli trafik türlerini denetlemek için araçlar sağlar. Suricata konfigürasyonlarında şunu kullanmak mümkündür: imza veritabanlarıSnort projesi tarafından geliştirilen kuralların yanı sıra kurallar dizisi Ortaya Çıkan Tehditler и Gelişen Tehditler Profesyoneli. Proje kaynakları yayılmış GPLv2 altında lisanslanmıştır.

Ana değişiklikler:

  • Ayrıştırma ve günlüğe kaydetme protokolleri için yeni modüller tanıtıldı
    Rust'ta yazılmış RDP, SNMP ve SIP. EVE alt sistemi aracılığıyla oturum açma yeteneği, FTP ayrıştırma modülüne eklenerek JSON formatında olay çıktısı sağlanmıştır;

  • Son sürümde ortaya çıkan JA3 TLS istemci tanımlama yöntemi desteğine ek olarak, yöntem desteği de mevcuttur. JA3S, izin vermek Bağlantı anlaşmasının özelliklerine ve belirtilen parametrelere bağlı olarak, bağlantı kurmak için hangi yazılımın kullanıldığını belirleyin (örneğin, Tor ve diğer standart uygulamaların kullanımını belirlemenize olanak tanır). JA3 istemcileri tanımlamanıza, JA3S ise sunucuları tanımlamanıza olanak tanır. Belirlemenin sonuçları kural belirleme dilinde ve günlüklerde kullanılabilir;
  • Yeni işlemler kullanılarak uygulanan, büyük veri kümelerinden örnekleri eşleştirmeye yönelik deneysel yetenek eklendi veri kümesi ve veri rep. Örneğin bu özellik, milyonlarca giriş içeren büyük kara listelerde maskelerin aranması için geçerlidir;
  • HTTP inceleme modu, test paketinde açıklanan tüm durumların tam kapsamını sağlar HTTP Kaçırıcı (örneğin, trafikteki kötü amaçlı etkinlikleri gizlemek için kullanılan teknikleri kapsar);
  • Rust dilinde modül geliştirmeye yönelik araçlar, seçeneklerden zorunlu standart yeteneklere aktarılmıştır. Gelecekte proje kod tabanında Rust kullanımının genişletilmesi ve modüllerin kademeli olarak Rust'ta geliştirilen analoglarla değiştirilmesi planlanıyor;
  • Protokol tanımlama motoru, doğruluğu artırmak ve eşzamansız trafik akışlarını yönetmek için geliştirildi;
  • Paketlerin kodu çözülürken tespit edilen atipik olayları saklayan EVE günlüğüne yeni bir "anormallik" giriş türü desteği eklendi. EVE ayrıca VLAN'lar ve trafik yakalama arayüzleri hakkındaki bilgilerin görüntülenmesini de genişletti. Tüm HTTP başlıklarını EVE http günlük girişlerine kaydetme seçeneği eklendi;
  • eBPF tabanlı işleyiciler, paket yakalamayı hızlandırmaya yönelik donanım mekanizmalarına destek sağlar. Donanım hızlandırma şu anda Netronome ağ bağdaştırıcılarıyla sınırlıdır, ancak yakında diğer ekipmanlar için de kullanılabilecektir;
  • Netmap çerçevesini kullanarak trafiği yakalama kodu yeniden yazıldı. Sanal anahtar gibi gelişmiş Netmap özelliklerini kullanma yeteneği eklendi VALE;
  • Katma Yapışkan Arabellekler için yeni bir anahtar kelime tanımlama şeması desteği. Yeni şema “protocol.buffer” formatında tanımlanmıştır, örneğin bir URI'yi incelemek için anahtar kelime “http_uri” yerine “http.uri” biçimini alacaktır;
  • Kullanılan tüm Python kodları uyumluluk açısından test edilmiştir.
    Python3;

  • Tilera mimarisi, dns.log metin günlüğü ve eski günlük dosyaları-json.log desteği durduruldu.

Suricata'nın özellikleri:

  • Tarama sonuçlarını görüntülemek için birleşik bir format kullanma birleşik2, aynı zamanda Snort projesi tarafından da kullanılır ve aşağıdaki gibi standart analiz araçlarının kullanılmasına olanak tanır: ahır2. BASE, Snorby, Sguil ve SQueRT ürünleriyle entegrasyon imkanı. PCAP çıkış desteği;
  • Protokollerin (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, vb.) otomatik olarak algılanması desteği, bağlantı noktası numarasına bakılmaksızın (örneğin, HTTP'yi engelle) yalnızca protokol türüne göre kurallarda işlem yapmanıza olanak tanır standart olmayan bir bağlantı noktasındaki trafik). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ve SSH protokolleri için kod çözücülerin kullanılabilirliği;
  • HTTP trafiğini ayrıştırmak ve normalleştirmek için Mod_Security projesinin yazarı tarafından oluşturulan özel bir HTTP kitaplığını kullanan güçlü bir HTTP trafik analiz sistemi. Transit HTTP aktarımlarının ayrıntılı bir günlüğünü tutmak için bir modül mevcuttur; günlük, standart bir formatta kaydedilir
    Apaçi. HTTP aracılığıyla iletilen dosyaların alınması ve kontrol edilmesi desteklenir. Sıkıştırılmış içeriği ayrıştırma desteği. URI, Çerez, başlıklar, kullanıcı aracısı, istek/yanıt gövdesine göre tanımlama yeteneği;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING dahil olmak üzere trafik müdahalesine yönelik çeşitli arayüzler için destek. Zaten kaydedilmiş dosyaları PCAP formatında analiz etmek mümkündür;
  • Yüksek performans, geleneksel ekipmanlarda 10 gigabit/sn'ye kadar akışları işleme yeteneği.
  • Büyük IP adresi kümeleri için yüksek performanslı maske eşleştirme mekanizması. Maske ve normal ifadelere göre içerik seçme desteği. Dosyaların ada, türe veya MD5 sağlama toplamına göre tanımlanması da dahil olmak üzere trafikten yalıtılması.
  • Değişkenleri kurallarda kullanma yeteneği: bilgileri bir akıştan kaydedebilir ve daha sonra diğer kurallarda kullanabilirsiniz;
  • Yapılandırma dosyalarında, makineyle işlenmesi kolay olurken netliği korumanıza olanak tanıyan YAML formatının kullanılması;
  • Tam IPv6 desteği;
  • Paketlerin gelme sırasına bakılmaksızın akışların doğru şekilde işlenmesine olanak tanıyan, paketlerin otomatik olarak birleştirilmesi ve yeniden birleştirilmesi için yerleşik motor;
  • Tünel protokolleri desteği: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paket kod çözme desteği: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL bağlantılarında görünen anahtarları ve sertifikaları günlüğe kaydetme modu;
  • Gelişmiş analiz sağlamak ve standart kuralların yeterli olmadığı trafik türlerini belirlemek için gereken ek yetenekleri uygulamak üzere Lua'da komut dosyaları yazma yeteneği.

    • Kaynak: opennet.ru

Yorum ekle