ProHoster > Blog > internet haberleri > Suricata 6.0 saldırı tespit sisteminin piyasaya sürülmesi

Suricata 6.0 saldırı tespit sisteminin piyasaya sürülmesi

После года разработки организация OISF (Open Information Security Foundation) yayınlanan ağ saldırı tespit ve önleme sisteminin piyasaya sürülmesi Mirket 6.0çeşitli trafik türlerini denetlemek için araçlar sağlar. Suricata konfigürasyonlarında şunu kullanmak mümkündür: imza veritabanlarıSnort projesi tarafından geliştirilen kuralların yanı sıra kurallar dizisi Ortaya Çıkan Tehditler и Gelişen Tehditler Profesyoneli. Proje kaynakları yayılmış GPLv2 altında lisanslanmıştır.

Ana değişiklikler:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки asn.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata'nın özellikleri:

  • Tarama sonuçlarını görüntülemek için birleşik bir format kullanma birleşik2, aynı zamanda Snort projesi tarafından da kullanılır ve aşağıdaki gibi standart analiz araçlarının kullanılmasına olanak tanır: ahır2. BASE, Snorby, Sguil ve SQueRT ürünleriyle entegrasyon imkanı. PCAP çıkış desteği;
  • Protokollerin (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, vb.) otomatik olarak algılanması desteği, bağlantı noktası numarasına bakılmaksızın (örneğin, HTTP'yi engelle) yalnızca protokol türüne göre kurallarda işlem yapmanıza olanak tanır standart olmayan bir bağlantı noktasındaki trafik). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ve SSH protokolleri için kod çözücülerin kullanılabilirliği;
  • HTTP trafiğini ayrıştırmak ve normalleştirmek için Mod_Security projesinin yazarı tarafından oluşturulan özel bir HTTP kitaplığını kullanan güçlü bir HTTP trafik analiz sistemi. Transit HTTP aktarımlarının ayrıntılı bir günlüğünü tutmak için bir modül mevcuttur; günlük, standart bir formatta kaydedilir
    Apaçi. HTTP aracılığıyla iletilen dosyaların alınması ve kontrol edilmesi desteklenir. Sıkıştırılmış içeriği ayrıştırma desteği. URI, Çerez, başlıklar, kullanıcı aracısı, istek/yanıt gövdesine göre tanımlama yeteneği;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING dahil olmak üzere trafik müdahalesine yönelik çeşitli arayüzler için destek. Zaten kaydedilmiş dosyaları PCAP formatında analiz etmek mümkündür;
  • Yüksek performans, geleneksel ekipmanlarda 10 gigabit/sn'ye kadar akışları işleme yeteneği.
  • Büyük IP adresi kümeleri için yüksek performanslı maske eşleştirme mekanizması. Maske ve normal ifadelere göre içerik seçme desteği. Dosyaların ada, türe veya MD5 sağlama toplamına göre tanımlanması da dahil olmak üzere trafikten yalıtılması.
  • Değişkenleri kurallarda kullanma yeteneği: bilgileri bir akıştan kaydedebilir ve daha sonra diğer kurallarda kullanabilirsiniz;
  • Yapılandırma dosyalarında, makineyle işlenmesi kolay olurken netliği korumanıza olanak tanıyan YAML formatının kullanılması;
  • Tam IPv6 desteği;
  • Paketlerin gelme sırasına bakılmaksızın akışların doğru şekilde işlenmesine olanak tanıyan, paketlerin otomatik olarak birleştirilmesi ve yeniden birleştirilmesi için yerleşik motor;
  • Tünel protokolleri desteği: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paket kod çözme desteği: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • TLS/SSL bağlantılarında görünen anahtarları ve sertifikaları günlüğe kaydetme modu;
  • Gelişmiş analiz sağlamak ve standart kuralların yeterli olmadığı trafik türlerini belirlemek için gereken ek yetenekleri uygulamak üzere Lua'da komut dosyaları yazma yeteneği.

Kaynak: opennet.ru

Yorum ekle