Organizace OISF (Open Information Security Foundation) uvolnění systému detekce a prevence narušení sítě , která poskytuje nástroje pro kontrolu různých typů provozu. V konfiguracích Suricata je možné použít , vyvinutý projektem Snort, a také sady pravidel и . Zdroje projektu pod licencí GPLv2.
Hlavní změny:
- Byly zavedeny nové moduly pro analýzu a protokolování protokolů
RDP, SNMP a SIP napsané v Rustu. Modul syntaktické analýzy FTP má nyní možnost protokolovat prostřednictvím subsystému EVE, který poskytuje výstup událostí ve formátu JSON; - Kromě podpory pro metodu identifikace klienta JA3 TLS, která se objevila v posledním vydání, podpora pro tuto metodu , Na základě charakteristik vyjednávání připojení a zadaných parametrů určete, jaký software se používá k navázání připojení (umožňuje například určit použití Tor a dalších standardních aplikací). JA3 umožňuje definovat klienty a JA3S umožňuje definovat servery. Výsledky stanovení lze použít v jazyce nastavení pravidel a v protokolech;
- Přidána experimentální schopnost porovnávat vzorky z velkých souborů dat, implementovaná pomocí nových operací . Tato funkce je například použitelná pro vyhledávání masek ve velkých blacklistech obsahujících miliony záznamů;
- Režim kontroly HTTP poskytuje plné pokrytí všech situací popsaných v testovací sadě (např. zahrnuje techniky používané ke skrytí škodlivé činnosti v provozu);
- Nástroje pro vývoj modulů v jazyce Rust byly převedeny z možností na povinné standardní schopnosti. Do budoucna se plánuje rozšíření použití Rustu v základně projektového kódu a postupná výměna modulů za analogy vyvinuté v Rustu;
- Modul definice protokolu byl vylepšen, aby zlepšil přesnost a zvládl asynchronní toky provozu;
- Do protokolu EVE byla přidána podpora pro nový typ záznamu „anomálie“, který ukládá atypické události zjištěné při dekódování paketů. EVE také rozšířila zobrazování informací o VLAN a rozhraních pro zachycení provozu. Přidána možnost uložit všechny HTTP hlavičky do položek protokolu EVE http;
- Obslužné programy založené na eBPF poskytují podporu pro hardwarové mechanismy pro urychlení zachycování paketů. Hardwarová akcelerace je v současnosti omezena na síťové adaptéry Netronome, ale brzy bude k dispozici pro další zařízení;
- Kód pro zachycování provozu pomocí rámce Netmap byl přepsán. Přidána možnost používat pokročilé funkce Netmap, jako je virtuální přepínač ;
- podpora nového schématu definice klíčových slov pro Sticky Buffers. Nové schéma je definováno ve formátu „protocol.buffer“, například pro kontrolu URI bude mít klíčové slovo tvar „http.uri“ místo „http_uri“;
- Veškerý použitý kód Pythonu je testován na kompatibilitu s
Python3; - Podpora architektury Tilera, textového protokolu dns.log a starého souboru protokolu-json.log byla ukončena.
Vlastnosti Suricaty:
- Použití jednotného formátu k zobrazení výsledků skenování , také používaný projektem Snort, který umožňuje použití standardních analytických nástrojů, jako je např . Možnost integrace s produkty BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
- Podpora automatické detekce protokolů (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atd.), která umožňuje pracovat v pravidlech pouze podle typu protokolu, bez vazby na číslo portu (například blokovat HTTP provoz na nestandardním portu). Dostupnost dekodérů pro protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
- Výkonný systém pro analýzu provozu HTTP, který používá speciální knihovnu HTP vytvořenou autorem projektu Mod_Security k analýze a normalizaci provozu HTTP. Pro vedení podrobného záznamu tranzitních HTTP přenosů je k dispozici modul, který je ukládán ve standardním formátu
Apache. Je podporováno načítání a kontrola souborů přenášených přes HTTP. Podpora pro analýzu komprimovaného obsahu. Schopnost identifikovat pomocí URI, Cookie, hlaviček, user-agent, těla požadavku/odpovědi; - Podpora různých rozhraní pro zachycování provozu, včetně NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovat již uložené soubory ve formátu PCAP;
- Vysoký výkon, schopnost zpracovávat toky až 10 gigabitů/s na konvenčním zařízení.
- Vysoce výkonný mechanismus porovnávání masek pro velké sady IP adres. Podpora výběru obsahu podle masky a regulárních výrazů. Izolace souborů od provozu, včetně jejich identifikace podle názvu, typu nebo kontrolního součtu MD5.
- Schopnost používat proměnné v pravidlech: můžete uložit informace z proudu a později je použít v jiných pravidlech;
- Použití formátu YAML v konfiguračních souborech, který umožňuje zachovat přehlednost a přitom se snadno strojně zpracovávat;
- Plná podpora IPv6;
- Vestavěný engine pro automatickou defragmentaci a opětovné sestavení paketů, umožňující správné zpracování toků bez ohledu na pořadí, ve kterém pakety přicházejí;
- Podpora tunelovacích protokolů: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Podpora dekódování paketů: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Režim pro protokolování klíčů a certifikátů objevujících se v připojeních TLS/SSL;
- Schopnost psát skripty v jazyce Lua, které poskytují pokročilou analýzu a implementují další funkce potřebné k identifikaci typů provozu, pro které standardní pravidla nestačí.
Zdroj: opennet.ru