Organizazione OISF (Open Information Security Foundation) liberazione di u sistema di rilevazione è prevenzione di intrusioni in rete , chì furnisce strumenti per inspeccionà diversi tipi di trafficu. In cunfigurazioni Suricata hè pussibule aduprà , sviluppatu da u prughjettu Snort, è ancu inseme di regule и . Fonti di prughjettu licenziatu sottu GPLv2.
I cambiamenti principali:
- I novi moduli per l'analisi è i protokolli di logging sò stati introdutti
RDP, SNMP è SIP scritti in Rust. A capacità di logà via u subsistema EVE hè stata aghjunta à u modulu di analisi FTP, chì furnisce l'output di l'avvenimentu in u formatu JSON; - In più di u supportu per u metudu di identificazione di u cliente JA3 TLS chì apparsu in l'ultima versione, u supportu per u metudu , Basatu nantu à e caratteristiche di a negoziazione di cunnessione è i paràmetri specificati, stabilisce quale software hè utilizatu per stabilisce una cunnessione (per esempiu, permette di determinà l'usu di Tor è altre applicazioni standard). JA3 permette di definisce i clienti, è JA3S permette di definisce i servitori. I risultati di a determinazione ponu esse utilizati in a lingua di a regula è in i logs;
- Aggiunta capacità sperimentale per abbinà campioni da grande setti di dati, implementatu cù novi operazioni . Per esempiu, a funzione hè applicabile à a ricerca di maschere in grandi liste nere chì cuntenenu milioni di entrate;
- U modu di ispezione HTTP furnisce una copertura completa di tutte e situazioni descritte in a suite di teste (per esempiu, copre tecniche usate per ammuccià l'attività maliziosa in u trafficu);
- Strumenti per sviluppà moduli in a lingua Rust sò stati trasferiti da l'opzioni à e capacità standard obligatorii. In u futuru, hè previstu di espansione l'usu di Rust in a basa di codice di u prughjettu è gradualmente rimpiazzà i moduli cù analoghi sviluppati in Rust;
- U mutore di definizione di protokollu hè statu migliuratu per migliurà a precisione è gestisce i flussi di trafficu asincronu;
- U supportu per un novu tipu d'entrata "anomalia" hè statu aghjuntu à u logu EVE, chì guarda l'avvenimenti atipici rilevati quandu decodificate i pacchetti. EVE hà ancu allargatu a visualizazione di l'infurmazioni nantu à VLAN è interfacce di cattura di trafficu. Opzione aghjunta per salvà tutte l'intestazione HTTP in entrate di log EVE http;
- I gestori basati in eBPF furniscenu supportu per i meccanismi hardware per accelerà a cattura di pacchetti. L'accelerazione di hardware hè attualmente limitata à l'adattatori di rete Netronome, ma sarà prestu dispunibule per altri equipaghji;
- U codice per catturà u trafficu cù u framework Netmap hè statu riscritto. Aggiunta a capacità di utilizà funzioni avanzate di Netmap cum'è un switch virtuale ;
- supportu per un novu schema di definizione di keyword per Sticky Buffers. U novu schema hè definitu in u formatu "protocol.buffer", per esempiu, per inspeccionà un URI, a chjave pigliarà a forma "http.uri" invece di "http_uri";
- Tuttu u codice Python utilizatu hè pruvatu per a cumpatibilità cù
Python3; - U supportu per l'architettura Tilera, u logu di testu dns.log è i vechji log files-json.log hè statu discontinuatu.
Caratteristiche di Suricata:
- Utilizà un formatu unificatu per vede i risultati di scansione , ancu utilizatu da u prughjettu Snort, chì permette l'usu di strumenti di analisi standard cum'è . Possibilità di integrazione cù i prudutti BASE, Snorby, Sguil è SQueRT. supportu di output PCAP;
- Supportu per a rilevazione automatica di protokolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), chì vi permette di operà in regule solu per tipu di protocolu, senza riferimentu à u numeru di portu (per esempiu, bluccà HTTP). trafficu in un portu micca standard). Disponibilità di decodificatori per protokolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP è SSH;
- Un putente sistema di analisi di u trafficu HTTP chì usa una biblioteca speciale HTP creata da l'autore di u prughjettu Mod_Security per analizà è nurmalizà u trafficu HTTP. Un modulu hè dispunibule per mantene un logu detallatu di trasferimenti HTTP di transitu; u logu hè salvatu in un formatu standard
Apache. A ricuperazione è a verificazione di i fugliali trasmessi via HTTP hè supportata. Supportu per analizà u cuntenutu cumpressu. Capacità di identificà per URI, Cookie, headers, user-agent, corpu di dumanda / risposta; - Supportu per diverse interfacce per l'intercettazione di u trafficu, cumprese NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Hè pussibule analizà i fugliali digià salvati in u formatu PCAP;
- Alte prestazioni, capacità di processà flussi finu à 10 gigabits / sec nantu à l'equipaggiu cunvinziunali.
- Meccanismo di corrispondenza di maschere d'altu rendiment per grandi gruppi di indirizzi IP. Supportu per a selezzione di cuntenutu per maschera è espressioni regulare. Isulà i fugliali da u trafficu, cumprese a so identificazione per nome, tipu o checksum MD5.
- Capacità di utilizà variàbili in e regule: pudete salvà l'infurmazioni da un flussu è dopu aduprà in altre regule;
- L'usu di u formatu YAML in i schedarii di cunfigurazione, chì vi permette di mantene a chiarità mentre hè faciule di processà a macchina;
- Supportu IPv6 cumpletu;
- Mutore integratu per a defragmentazione automatica è a riunione di i pacchetti, chì permette un trattamentu currettu di i flussi, indipendentemente da l'ordine in quale i pacchetti arrivanu;
- Supportu per i protokolli di tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Supportu di decodificazione di pacchetti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modu per chjavi di logu è certificati chì apparenu in e cunnessione TLS / SSL;
- A capacità di scrive script in Lua per furnisce l'analisi avanzata è implementà e capacità supplementari necessarie per identificà tipi di trafficu per quale e regule standard ùn sò micca abbastanza.
Source: opennet.ru