Organització OISF (Open Information Security Foundation) llançament del sistema de detecció i prevenció d'intrusions a la xarxa , que ofereix eines per inspeccionar diferents tipus de trànsit. En configuracions de Suricata és possible utilitzar-lo , desenvolupat pel projecte Snort, així com uns conjunts de normes и . Fonts del projecte amb llicència GPLv2.
Principals canvis:
- S'han introduït nous mòduls per a protocols d'anàlisi i registre
RDP, SNMP i SIP escrits en Rust. La possibilitat d'iniciar sessió mitjançant el subsistema EVE s'ha afegit al mòdul d'anàlisi FTP, proporcionant sortida d'esdeveniments en format JSON; - A més del suport per al mètode d'identificació de client JA3 TLS que va aparèixer a la darrera versió, el suport per al mètode , En funció de les característiques de la negociació de la connexió i dels paràmetres especificats, determineu quin programari s'utilitza per establir una connexió (per exemple, us permet determinar l'ús de Tor i altres aplicacions estàndard). JA3 us permet definir clients i JA3S us permet definir servidors. Els resultats de la determinació es poden utilitzar en l'idioma d'establiment de regles i en els registres;
- S'ha afegit la capacitat experimental per combinar mostres de grans conjunts de dades, implementada mitjançant noves operacions . Per exemple, la funció és aplicable a la cerca de màscares en grans llistes negres que contenen milions d'entrades;
- El mode d'inspecció HTTP ofereix una cobertura completa de totes les situacions descrites a la suite de proves (p. ex., cobreix les tècniques utilitzades per ocultar l'activitat maliciosa en el trànsit);
- Les eines per desenvolupar mòduls en llenguatge Rust s'han transferit d'opcions a capacitats estàndard obligatòries. En el futur, es preveu ampliar l'ús de Rust a la base de codi del projecte i substituir gradualment els mòduls per anàlegs desenvolupats a Rust;
- S'ha millorat el motor de definició de protocols per millorar la precisió i gestionar els fluxos de trànsit asíncrons;
- S'ha afegit suport per a un nou tipus d'entrada "anomalia" al registre EVE, que emmagatzema esdeveniments atípics detectats en descodificar paquets. EVE també ha ampliat la visualització d'informació sobre VLAN i interfícies de captura de trànsit. S'ha afegit una opció per desar totes les capçaleres HTTP a les entrades de registre http EVE;
- Els controladors basats en eBPF ofereixen suport per a mecanismes de maquinari per accelerar la captura de paquets. Actualment, l'acceleració de maquinari està limitada als adaptadors de xarxa Netronome, però aviat estarà disponible per a altres equips;
- S'ha reescrit el codi per capturar trànsit amb el marc de xarxa Netmap. S'ha afegit la possibilitat d'utilitzar funcions avançades de mapa de xarxa, com ara un commutador virtual ;
- suport per a un nou esquema de definició de paraules clau per Sticky Buffers. El nou esquema es defineix en el format "protocol.buffer", per exemple, per inspeccionar un URI, la paraula clau tindrà la forma "http.uri" en lloc de "http_uri";
- Tot el codi Python utilitzat es prova de compatibilitat amb
Python3; - El suport per a l'arquitectura Tilera, el registre de text dns.log i els fitxers de registre antics-json.log s'ha interromput.
Característiques de Suricata:
- Ús d'un format unificat per mostrar els resultats de l'escaneig , també utilitzat pel projecte Snort, que permet l'ús d'eines d'anàlisi estàndard com ara . Possibilitat d'integració amb productes BASE, Snorby, Sguil i SQueRT. Suport a la sortida de PCAP;
- Suport per a la detecció automàtica de protocols (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), que us permet operar en regles només per tipus de protocol, sense fer referència al número de port (per exemple, bloquejar HTTP). trànsit en un port no estàndard). Disponibilitat de descodificadors per a protocols HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH;
- Un potent sistema d'anàlisi del trànsit HTTP que utilitza una biblioteca HTP especial creada per l'autor del projecte Mod_Security per analitzar i normalitzar el trànsit HTTP. Hi ha un mòdul disponible per mantenir un registre detallat de les transferències HTTP de trànsit; el registre es desa en un format estàndard
Apache. S'admet la recuperació i la comprovació de fitxers transmesos mitjançant HTTP. Suport per analitzar contingut comprimit. Capacitat d'identificar-se per URI, galeta, capçaleres, agent d'usuari, cos de sol·licitud/resposta; - Suport per a diverses interfícies per a la intercepció del trànsit, com ara NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. És possible analitzar fitxers ja desats en format PCAP;
- Alt rendiment, capacitat per processar fluxos de fins a 10 gigabits/s en equips convencionals.
- Mecanisme de concordança de màscares d'alt rendiment per a grans conjunts d'adreces IP. Suport per seleccionar contingut per màscara i expressions regulars. Aïllar fitxers del trànsit, inclosa la seva identificació per nom, tipus o suma de verificació MD5.
- Capacitat d'utilitzar variables en regles: podeu desar informació d'un flux i, posteriorment, utilitzar-la en altres regles;
- Ús del format YAML en fitxers de configuració, que permet mantenir la claredat alhora que és fàcil de processar;
- Suport complet IPv6;
- Motor integrat per a la desfragmentació i el muntatge automàtics de paquets, que permeten un processament correcte dels fluxos, independentment de l'ordre en què arriben els paquets;
- Suport per a protocols de túnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Suport de descodificació de paquets: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mode per registrar claus i certificats que apareixen a les connexions TLS/SSL;
- La capacitat d'escriure scripts en Lua per proporcionar una anàlisi avançada i implementar les capacitats addicionals necessàries per identificar els tipus de trànsit per als quals les regles estàndard no són suficients.
Font: opennet.ru