Арганізацыя OISF (Open Information Security Foundation) апублікавала рэліз сістэмы выяўлення і прадухілення сеткавых уварванняў Сурыкат 5.0, Якая дае сродкі інспектавання розных відаў трафіку. У канфігурацыях Suricata дапушчальна задзейнічанне базы сігнатур, якая развіваецца праектам Snort, а таксама набораў правілаў Emerging Threats и Emerging Threats Pro. Зыходныя тэксты праекта распаўсюджваюцца пад ліцэнзіяй GPLv2.
Асноўныя змены:
Прадстаўлены новыя модулі разбору і вядзення лога для пратаколаў
RDP, SNMP і SIP, напісаныя на мове Rust. У модуль для разбору FTP дададзена магчымасць вядзення лога праз падсістэму EVE, якая забяспечвае выснову падзей у фармаце JSON;
У дадатак да якая з'явілася ў мінулым выпуску падтрымцы метаду ідэнтыфікацыі TLS-кліентаў JA3 дададзеная падтрымка метаду JA3S, які дазваляе на аснове асаблівасцяў узгаднення злучэнняў і задаваных параметраў вызначаць якое ПА выкарыстоўваецца для ўсталёўкі злучэння (напрыклад, дазваляе вызначыць выкарыстанне Tor і іншых тыпавых прыкладанняў). JA3 дае магчымасць вызначаць кліентаў, а JA3S - серверы. Вынікі вызначэння можна выкарыстоўваць у мове задання правіл і ў логах;
Дададзена эксперыментальная магчымасць супастаўлення з выбаркай з вялікіх набораў дадзеных, якая рэалізуецца пры дапамозе новых аперацый dataset і datarep. Напрыклад, магчымасць дастасоўная для пошуку масак у вялікіх чорных спісах, якія налічваюць мільёны запісаў;
У рэжыме інспектавання HTTP забяспечана поўнае пакрыццё ўсіх сітуацый, апісаных у тэставым наборы. HTTP Evader (напрыклад, ахоплівае метады, якія прымяняюцца для ўтойвання ў трафіку шкоднаснай актыўнасці);
Сродкі распрацоўкі модуляў на мове Rust перакладзены з опцый у разрад абавязковых штатных магчымасцяў. У далейшым плануецца пашырэнне прымянення Rust у кодавай базе праекта і паступовая замена модуляў на аналагі, распрацаваныя на Rust;
Рухавічок вызначэння пратаколаў палепшаны ў галіне павышэння дакладнасці і апрацоўкі асінхронных патокаў трафіку;
У EVE-лог дададзена падтрымка новага тыпу запісаў "anomaly", у якіх захоўваюцца нетыповыя падзеі, якія выяўляюцца пры дэкадаванні пакетаў. У EVE таксама пашырана адлюстраванне інфармацыі аб VLAN і інтэрфейсах захопу трафіку. Дададзена опцыя для захавання ўсіх HTTP-загалоўкаў у http-запісах лога EVE;
У апрацоўшчыках на базе eBPF забяспечана падтрымка апаратных механізмаў паскарэння захопу пакетаў. Апаратнае паскарэнне пакуль абмежавана сеткавымі адаптарамі Netronome, але хутка з'явіцца і для іншага абсталявання;
Перапісаны код для захопу трафіку пры дапамозе фрэймворка Netmap. Дададзена магчымасць выкарыстання пашыраных магчымасцяў Netmap, такіх як віртуальны камутатар. Вале;
Дададзена падтрымка новай схемы вызначэння ключавых слоў для "ліпкіх буфераў" (Sticky Buffers). Новая схема вызначана ў фармаце "протокол.буфер", напрыклад, для инроспектирования URI ключавое слова прыме выгляд "http.uri" замест "http_uri";
Увесь выкарыстоўваны Python код правераны на сумяшчальнасць з
Python 3;
Спынена падтрымка архітэктуры Tilera, тэкставага лога dns.log і старога лога files-json.log.
Асаблівасці Suricata:
Выкарыстанне для вываду вынікаў праверкі уніфікаванага фармату Unified2, таксама выкарыстоўванага праектам Snort, што дазваляе выкарыстоўваць стандартныя інструменты для аналізу, такія як barnyard2. Магчымасць інтэграцыі з прадуктамі BASE, Snorby, Sguil і SQueRT. Падтрымка вываду ў фармаце PCAP;
Падтрымка аўтаматычнага вызначэння пратаколаў (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB і да т.п.), якая дазваляе апераваць у правілах толькі тыпам пратаколу, без прывязкі да нумара порта (напрыклад, блакаваць HTTP трафік на нестандартным порце) . Наяўнасць дэкадавальнікаў для пратаколаў HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
Магутная сістэма аналізу HTTP-трафіка, якая выкарыстоўвае для разбору і нармалізацыі HTTP-трафіка адмысловую бібліятэку HTP, створаную аўтарам праекту Mod_Security. Даступны модуль для вядзення падрабязнага лога транзітных HTTP перасылак, лог захоўваецца ў стандартным фармаце
Apache. Падтрымліваецца выманне і праверка перадаюцца па пратаколе HTTP файлаў. Падтрымка разбору сціснутага кантэнту. Магчымасць ідэнтыфікацыі па URI, Cookie, загалоўкам, user-agent, целу запыту/адказу;
Падтрымка розных інтэрфейсаў для перахопу трафіку, у тым ліку NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Магчымы аналіз ужо захаваных файлаў у фармаце PCAP;
Высокая прадукцыйнасць, здольнасць апрацоўваць на звычайным абсталяванні патокі да 10 гігабіт/сек.
Высокапрадукцыйны механізм супастаўлення па масцы з вялікімі наборамі IP адрасоў. Падтрымка вылучэнне кантэнту па масцы і рэгулярным выразам. Вылучэнне файлаў з трафіку, у тым ліку іх ідэнтыфікацыя па імі, тыпу або кантрольнай суме MD5.
Магчымасць выкарыстання зменных у правілах: можна захаваць інфармацыю з патоку і пазней выкарыстоўваць яе ў іншых правілах;
Выкарыстанне фармату YAML у файлах канфігурацыі, што дазваляе захаваць навочнасць пры лёгкасці машыннай апрацоўкі;
Поўная падтрымка IPv6;
Убудаваны рухавічок для аўтаматычнай дэфрагментацыі і перазборкі пакетаў, які дазваляе забяспечыць карэктную апрацоўку струменяў, незалежна ад парадку паступлення пакетаў;
Рэжым вядзення лога ключоў і сертыфікатаў, якія фігуруюць у рамках злучэнняў TLS/SSL;
Магчымасць напісання скрыптоў на мове Lua для забеспячэння пашыранага аналізу і рэалізацыі дадатковых магчымасцяў, неабходных для вызначэння відаў трафіку, для якіх не дастаткова стандартных правілаў.