Доступна система обнаружения атак Suricata 3.0

27 января 2016 года

После почти двух лет разработки организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 3.0, примечательной поддержкой ускорения работы через задействование вычислений на стороне GPU (CUDA и OpenCL). Suricata также поддерживает многопоточность для оптимального задействования мощностей многоядерных систем и имеет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Из новшеств, добавленных в Suricata 3.0, можно отметить:

  • Улучшены средства детектирования атак, в том числе поддержка xbits для выявления эксплоитов, передаваемых через несколько потоков, и возможность использования одного сервера для обработки правил выявления атак для нескольких клиентов (multi tenancy).
  • Представлены расширенные средства инспектирования протокола SMTP и добавлена возможность извлечения файлов из почтовых вложений;
  • Поддержка нового метода захвата трафика NETMAP, актуального для пользователей FreeBSD;
  • Поддержка отбрасывания трафика ICMP (ранее отбрасывание допускалось для TCP и UDP через отправку RST или ICMP error);
  • Поддержка сборки в виде исполняемого файла PIE (Position-Independent Executable) для полноценного использования ASLR;
  • Многочисленные улучшения средств для написания скриптов на языке Lua (добавлен доступ к Stream Payloads и TCP quad / Flow Tuple, поддержка обработки вывода на Lua, обработка TLS и SSL);
  • Поддержка декодирования пакетов MPLS over Ethernet, Modbus, DNS nxdomain, Cisco erspan;
  • Улучшены компоненты вывода информации, включая модернизацию средств для вывода событий в формате JSON (например, в JSON можно передавать "payload"), поддержку подсветки элементов в выводе и возможность сохранения результатов в БД Redis;
  • Значительно улучшены масштабируемость, производительность, точность и надёжность.

Особенности Suricata:

  • Использование для вывода результатов проверки унифицированного формата Unified2 (Архивная копия от 8 августа 2010 на Wayback Machine), также используемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
  • Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH;
  • Мощная система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика специальную библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате

Apache. Поддерживается извлечение и проверка передаваемых по протоколу HTTP файлов. Поддержка разбора сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;

  • Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
  • Высокая производительность, способность обрабатывать на обычном оборудовании потоки до 10 гигабит/cек.
  • Высокопроизводительный механизм сопоставления по маске с большими наборами IP адресов. Поддержка выделение контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или контрольной сумме MD5.
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
  • Использование формата YAML в файлах конфигурации, что позволяет сохранить наглядность при легкости машинной обработки;
  • Полная поддержка IPv6;
  • Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
  • Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Режим ведения лога ключей и сертификатов, фигурирующих в рамках соединений TLS/SSL;
  • Возможность написания скриптов на языке Lua для обеспечения расширенного анализа и реализации дополнительных возможностей, необходимых для определения видов трафика, для которых не достаточно стандартных правил.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Доступна система обнаружения атак Suricata 3.0», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.