Das Angriffserkennungssystem Suricata 5.0 ist verfügbar.

Die Organisation OISF (Open Information Security Foundation) die die Software zur Erkennung und Verhinderung von Netzwerkangriffen Suricata 5.0, die Tools zur Inspektion verschiedener Verkehrstypen bereitstellt. In den Suricata-Konfigurationen kann auf die Signaturdatenbank, die im Rahmen des Snort-Projekts entwickelt wurde, sowie auf die Regelsets Emerging Threats und Emerging Threats Pro. Der Quellcode des Projekts werden steht unter der GPLv2-Lizenz.

Wesentliche Änderungen:

  • Neue Parser- und Logging-Module für die Protokolle
    RDP, SNMP und SIP, entwickelt in Rust. Das FTP-Parser-Modul wurde um die Möglichkeit erweitert, Logs über das EVE-Subsystem zu führen, das die Ereignisausgabe im JSON-Format ermöglicht;
  • Zusätzlich zur im vorherigen Release eingeführten Unterstützung für die JA3-Identifikationsmethode von TLS-Clients wurde die Unterstützung der Methode JA3S, hinzugefügt, der es ermöglicht, hinzugefügt, die basierend auf den Besonderheiten der Verbindungsaushandlungen und den festgelegten Parametern bestimmt, welche Software zur Verbindungsherstellung verwendet wird (z. B. um den Einsatz von Tor und anderen gängigen Anwendungen zu erkennen). JA3 erlaubt die Identifizierung von Clients, JA3S hingegen von Servern. Die Ergebnisse können in der Regelanfragesprache und in den Logs verwendet werden;
  • Eine experimentelle Möglichkeit zur Zuordnung zu Stichproben aus großen Datensätzen wurde hinzugefügt, umgesetzt durch neue Operationen dataset und datarep. Diese Möglichkeit ist beispielsweise für die Suche nach Mustern in großen Blacklists mit Millionen von Einträgen anwendbar;
  • Im HTTP-Inspektionsmodus wurde eine vollständige Abdeckung aller Szenarien gewährleistet, die im Testset beschrieben sind. HTTP Evader (zum Beispiel umfasst Methoden zur Tarnung von schädlichen Aktivitäten im Netzwerkverkehr);
  • Die Entwicklungswerkzeuge für Module in der Programmiersprache Rust wurden von optionalen in Pflichtfunktionen umgewandelt. Zukünftig ist eine Erweiterung des Einsatzes von Rust in der Codebasis des Projekts geplant, sowie eine schrittweise Ablösung von Modulen durch äquivalente, in Rust entwickelte;
  • Die Protokollerkennungs-Engine wurde zur Verbesserung der Genauigkeit und Verarbeitung von asynchronen Verkehrsströmen optimiert;
  • Im EVE-Log wurde die Unterstützung für einen neuen Aufzeichnungstyp „anomaly“ hinzugefügt, in dem untypische Ereignisse festgehalten werden, die beim Dekodieren von Paketen erkannt werden. Zudem wurde die Darstellung von Informationen über VLANs und Schnittstellen zur Verkehrserfassung im EVE-Log erweitert. Eine Option zum Speichern aller HTTP-Header in den http-Einträgen des EVE-Logs wurde hinzugefügt;
  • In den eBPF-basierten Handlern wird die Unterstützung für Hardwaremechanismen zur Beschleunigung der Paketerfassung gewährleistet. Die Hardwarebeschleunigung ist derzeit auf Netronome-Netzwerkadapter beschränkt, wird jedoch bald auch für andere Hardware verfügbar sein;
  • Der Code zur Erfassung des Datenverkehrs mit dem Netmap-Framework wurde überarbeitet. Es wurde die Möglichkeit hinzugefügt, die erweiterten Funktionen von Netmap, wie einen virtuellen Switch, zu nutzen. VALE;
  • Hinzugefügt Unterstützung für das neue Schema zur Bestimmung von Schlüsselwörtern für „Sticky Buffers“. Das neue Schema wird im Format „protokoll.puffer“ definiert, beispielsweise wird das Schlüsselwort zur Inspektion von URIs als „http.uri“ anstelle von „http_uri“ dargestellt.
  • Der gesamte verwendete Python-Code wurde auf Kompatibilität mit
    Python 3;
  • Die Unterstützung für die Tilera-Architektur, das Textprotokoll dns.log und das alte Protokoll files-json.log wurde eingestellt.

Besonderheiten von Suricata:

  • Verwendung eines einheitlichen Formats zur Auswertung von Prüfergebnissen Unified2, das auch von dem Projekt Snort verwendet wird, was die Nutzung gängiger Analysetools wie barnyard2. Möglichkeit zur Integration mit den Produkten BASE, Snorby, Sguil und SQueRT. Unterstützung der Ausgabe im PCAP-Format;
  • Automatische Protokollerkennung (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB usw.), die es ermöglicht, Regeln nur basierend auf dem Protokolltyp zu definieren, ohne an eine Portnummer gebunden zu sein (z. B. HTTP-Verkehr auf nicht-standard Port blockieren). Verfügbarkeit von Decodern für die Protokolle HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP und SSH;
  • Ein leistungsstarkes System zur Analyse von HTTP-Verkehr, das eine spezielle HTP-Bibliothek verwendet, die für die Analyse und Normalisierung von HTTP-Datenströmen im Rahmen des Mod_Security-Projekts entwickelt wurde. Ein Modul zur detaillierten Protokollierung von Transit-HTTP-Übertragungen ist verfügbar; das Protokoll wird im Standardformat gespeichert.
    Apache. Unterstützung für das Extrahieren und Überprüfen von über HTTP übertragenen Dateien. Unterstützung für die Analyse komprimierter Inhalte. Möglichkeit zur Identifizierung über URI, Cookies, Header, User-Agent und den Body von Anfragen/Antworten;
  • Unterstützung verschiedener Schnittstellen zur Verkehrsüberwachung, einschließlich NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Analyse bereits gespeicherter Dateien im PCAP-Format möglich;
  • Hohe Leistung, die Fähigkeit, auf herkömmlicher Hardware Streams von bis zu 10 Gigabit/Sekunde zu verarbeiten.
  • Hochleistungsfähige Masken-Übereinstimmungsmaschine für große IP-Adresspools. Unterstützung für die Inhaltsauswahl basierend auf Masken und regulären Ausdrücken. Extraktion von Dateien aus dem Datenverkehr, einschließlich ihrer Identifizierung nach Name, Typ oder MD5-Prüfziffer.
  • Möglichkeit, Variablen in Regeln zu verwenden: Informationen aus dem Datenstrom können gespeichert und später in anderen Regeln verwendet werden.
  • Verwendung des YAML-Formats in Konfigurationsdateien, was Übersichtlichkeit bei einfacher maschineller Verarbeitung ermöglicht.
  • Vollständige Unterstützung von IPv6.
  • Integrierte Engine für die automatische Defragmentierung und Rekonstruktion von Paketen, die eine korrekte Verarbeitung von Streams unabhängig von der Reihenfolge des Paketempfangs ermöglicht.
  • Unterstützung für Tunneling-Protokolle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE.
  • Unterstützung für Paketdekodierung: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN.
  • Protokollierungsmodus für Schlüssel und Zertifikate, die im Rahmen von TLS/SSL-Verbindungen verwendet werden.
  • Die Möglichkeit, Skripte in der Sprache Lua zu schreiben, ermöglicht eine erweiterte Analyse und die Implementierung zusätzlicher Funktionen, die zur Identifizierung von Verkehrsarten notwendig sind, für die standardmäßige Regeln nicht ausreichen.
  • Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster