Po roce vývoje organizace OISF (Open Information Security Foundation). uvolnění systému detekce a prevence narušení sítě , která poskytuje nástroje pro kontrolu různých typů provozu. V konfiguracích Suricata je možné použít , vyvinutý projektem Snort, a také sady pravidel и . Zdroje projektu pod licencí GPLv2.
Hlavní změny:
- Počáteční podpora HTTP/2.
- Podpora protokolů RFB a MQTT, včetně možnosti definovat protokol a udržovat protokol.
- Možnost logování pro protokol DCERPC.
- Výrazné zlepšení výkonu protokolování prostřednictvím subsystému EVE, který poskytuje výstup událostí ve formátu JSON. Zrychlení bylo dosaženo díky použití nového JSON Stock Builder napsaného v jazyce Rust.
- Byla zvýšena škálovatelnost systému protokolů EVE a byla implementována možnost udržovat samostatný soubor protokolu pro každé vlákno.
- Schopnost definovat podmínky pro resetování informací do protokolu.
- Možnost promítnutí MAC adres do EVE logu a zvýšení detailnosti DNS logu.
- Zlepšení výkonu průtokového motoru.
- Podpora pro identifikaci implementací SSH ().
- Implementace tunelového dekodéru GENEVE.
- Kód pro zpracování byl přepsán do jazyka Rust , DCERPC a SSH. Rust také podporuje nové protokoly.
- V jazyce definice pravidel byla do klíčového slova byte_jump přidána podpora parametru from_end a do byte_test byla přidána podpora parametru bitmask. Implementováno klíčové slovo pcrexform, aby bylo možné použít regulární výrazy (pcre) k zachycení podřetězce. Přidána konverze urldecode. Přidáno klíčové slovo byte_math.
- Poskytuje možnost používat cbindgen ke generování vazeb v jazycích Rust a C.
- Přidána počáteční podpora pluginu.
Vlastnosti Suricaty:
- Použití jednotného formátu k zobrazení výsledků skenování , také používaný projektem Snort, který umožňuje použití standardních analytických nástrojů, jako je např . Možnost integrace s produkty BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
- Podpora automatické detekce protokolů (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atd.), která umožňuje pracovat v pravidlech pouze podle typu protokolu, bez vazby na číslo portu (například blokovat HTTP provoz na nestandardním portu). Dostupnost dekodérů pro protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
- Výkonný systém pro analýzu provozu HTTP, který používá speciální knihovnu HTP vytvořenou autorem projektu Mod_Security k analýze a normalizaci provozu HTTP. Pro vedení podrobného záznamu tranzitních HTTP přenosů je k dispozici modul, který je ukládán ve standardním formátu
Apache. Je podporováno načítání a kontrola souborů přenášených přes HTTP. Podpora pro analýzu komprimovaného obsahu. Schopnost identifikovat pomocí URI, Cookie, hlaviček, user-agent, těla požadavku/odpovědi; - Podpora různých rozhraní pro zachycování provozu, včetně NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovat již uložené soubory ve formátu PCAP;
- Vysoký výkon, schopnost zpracovávat toky až 10 gigabitů/s na konvenčním zařízení.
- Vysoce výkonný mechanismus porovnávání masek pro velké sady IP adres. Podpora výběru obsahu podle masky a regulárních výrazů. Izolace souborů od provozu, včetně jejich identifikace podle názvu, typu nebo kontrolního součtu MD5.
- Schopnost používat proměnné v pravidlech: můžete uložit informace z proudu a později je použít v jiných pravidlech;
- Použití formátu YAML v konfiguračních souborech, který umožňuje zachovat přehlednost a přitom se snadno strojně zpracovávat;
- Plná podpora IPv6;
- Vestavěný engine pro automatickou defragmentaci a opětovné sestavení paketů, umožňující správné zpracování toků bez ohledu na pořadí, ve kterém pakety přicházejí;
- Podpora tunelovacích protokolů: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Podpora dekódování paketů: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Režim pro protokolování klíčů a certifikátů objevujících se v připojeních TLS/SSL;
- Schopnost psát skripty v jazyce Lua, které poskytují pokročilou analýzu a implementují další funkce potřebné k identifikaci typů provozu, pro které standardní pravidla nestačí.
Zdroj: opennet.ru