Οργανισμός OISF (Open Information Security Foundation) απελευθέρωση του συστήματος ανίχνευσης και πρόληψης εισβολών στο δίκτυο , το οποίο παρέχει ένα μέσο επιθεώρησης διαφόρων τύπων κυκλοφορίας. Σε διαμορφώσεις Suricata, επιτρέπεται η χρήση , που αναπτύχθηκε από το έργο Snort, καθώς και σύνολα κανόνων и . Πηγαίος κώδικας έργου άδεια σύμφωνα με το GPLv2.
Βασικές αλλαγές:
- Παρουσίασε νέες ενότητες ανάλυσης και καταγραφής για πρωτόκολλα
RDP, SNMP και SIP γραμμένα σε Rust. Η δυνατότητα καταγραφής μέσω του υποσυστήματος EVE, το οποίο παρέχει έξοδο συμβάντων σε μορφή JSON, έχει προστεθεί στη μονάδα ανάλυσης FTP. - Εκτός από την υποστήριξη για τη μέθοδο ελέγχου ταυτότητας πελάτη JA3 TLS που εισήχθη στην τελευταία έκδοση, υποστήριξη για τη μέθοδο , με βάση τις ιδιαιτερότητες της διαπραγμάτευσης σύνδεσης και τις καθορισμένες παραμέτρους, καθορίστε ποιο λογισμικό χρησιμοποιείται για τη δημιουργία μιας σύνδεσης (για παράδειγμα, σας επιτρέπει να προσδιορίσετε τη χρήση του Tor και άλλων τυπικών εφαρμογών). Το JA3 καθιστά δυνατό τον ορισμό πελατών και JA3S - διακομιστών. Τα αποτελέσματα του προσδιορισμού μπορούν να χρησιμοποιηθούν στη γλώσσα ρύθμισης κανόνων και στα αρχεία καταγραφής.
- Προστέθηκε πειραματική ικανότητα αντιστοίχισης με ένα δείγμα μεγάλων συνόλων δεδομένων, που υλοποιήθηκε με τη χρήση νέων λειτουργιών . Για παράδειγμα, η δυνατότητα ισχύει για την αναζήτηση μασκών σε μεγάλες μαύρες λίστες με εκατομμύρια καταχωρίσεις.
- Η λειτουργία επιθεώρησης HTTP παρέχει πλήρη κάλυψη όλων των καταστάσεων που περιγράφονται στη δοκιμαστική σουίτα (για παράδειγμα, καλύπτει μεθόδους που χρησιμοποιούνται για την απόκρυψη κακόβουλης δραστηριότητας στην κυκλοφορία).
- Τα εργαλεία ανάπτυξης λειτουργικών μονάδων Rust έχουν μετακινηθεί από τις επιλογές στα απαιτούμενα τυπικά χαρακτηριστικά. Στο μέλλον, σχεδιάζεται να επεκταθεί η χρήση του Rust στη βάση κώδικα του έργου και σταδιακά να αντικατασταθούν οι μονάδες με ανάλογα που αναπτύχθηκαν στο Rust.
- Η μηχανή ανίχνευσης πρωτοκόλλου έχει βελτιωθεί όσον αφορά την ακρίβεια και το χειρισμό των ασύγχρονων ροών κυκλοφορίας.
- Έχει προστεθεί υποστήριξη στο αρχείο καταγραφής EVE για έναν νέο τύπο εγγραφής, το "anomaly", το οποίο αποθηκεύει άτυπα συμβάντα που εντοπίζονται κατά την αποκωδικοποίηση των πακέτων. Το EVE επέκτεινε επίσης την εμφάνιση πληροφοριών σχετικά με VLAN και διεπαφές καταγραφής κίνησης. Προστέθηκε η επιλογή αποθήκευσης όλων των κεφαλίδων HTTP στις καταχωρήσεις http του καταγραφής EVE.
- Οι χειριστές που βασίζονται σε eBPF παρέχουν υποστήριξη για μηχανισμούς υλικού για την επιτάχυνση της σύλληψης πακέτων. Η επιτάχυνση υλικού περιορίζεται επί του παρόντος στους προσαρμογείς δικτύου Netronome, αλλά σύντομα θα εμφανιστεί για άλλο εξοπλισμό.
- Ξαναγραμμένος κώδικας για την καταγραφή επισκεψιμότητας χρησιμοποιώντας το πλαίσιο Netmap. Προστέθηκε η δυνατότητα χρήσης προηγμένων λειτουργιών Netmap, όπως εικονικός διακόπτης ;
- υποστήριξη για ένα νέο σχήμα ορισμού λέξεων-κλειδιών για Sticky Buffers. Το νέο σχήμα ορίζεται σε μορφή protocol.buffer, για παράδειγμα, για την ενδοσκόπηση ενός URI, η λέξη-κλειδί θα είναι "http.uri" αντί για "http_uri".
- Όλος ο κώδικας Python που χρησιμοποιείται ελέγχεται για συμβατότητα με
Python3; - Η υποστήριξη για την αρχιτεκτονική Tilera, το αρχείο καταγραφής κειμένου dns.log και το παλιό αρχείο καταγραφής αρχείων-json.log έχει διακοπεί.
Χαρακτηριστικά του Suricata:
- Χρήση ενοποιημένης μορφής για εμφάνιση αποτελεσμάτων επικύρωσης , που χρησιμοποιείται επίσης από το έργο Snort, επιτρέποντας τη χρήση τυπικών εργαλείων ανάλυσης όπως π.χ . Δυνατότητα ενσωμάτωσης με προϊόντα BASE, Snorby, Sguil και SQueRT. Υποστήριξη για έξοδο σε μορφή PCAP.
- Υποστήριξη για αυτόματη ανίχνευση πρωτοκόλλων (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, κ.λπ.), που σας επιτρέπει να λειτουργείτε στους κανόνες μόνο με βάση τον τύπο πρωτοκόλλου, χωρίς αναφορά στον αριθμό θύρας (για παράδειγμα , για αποκλεισμό της κυκλοφορίας HTTP σε μια μη τυπική θύρα) . Αποκωδικοποιητές για πρωτόκολλα HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP και SSH.
- Ένα ισχυρό σύστημα ανάλυσης κυκλοφορίας HTTP που χρησιμοποιεί μια ειδική βιβλιοθήκη HTP που δημιουργήθηκε από τον συγγραφέα του έργου Mod_Security για την ανάλυση και την κανονικοποίηση της κυκλοφορίας HTTP. Διατίθεται μια ενότητα για τη διατήρηση ενός λεπτομερούς αρχείου καταγραφής μεταφορών HTTP, το αρχείο καταγραφής αποθηκεύεται σε τυπική μορφή
Απάχης. Υποστηρίζεται η εξαγωγή και η επαλήθευση αρχείων που μεταφέρονται μέσω πρωτοκόλλου HTTP. Υποστήριξη για ανάλυση συμπιεσμένου περιεχομένου. Δυνατότητα αναγνώρισης από URI, Cookie, κεφαλίδες, χρήστη-πράκτορα, σώμα αιτήματος/απόκρισης. - Υποστήριξη για διάφορες διεπαφές για την παρακολούθηση της κυκλοφορίας, συμπεριλαμβανομένων των NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Είναι δυνατή η ανάλυση των ήδη αποθηκευμένων αρχείων σε μορφή PCAP.
- Υψηλή απόδοση, δυνατότητα επεξεργασίας ροών έως και 10 gigabit/sec σε συμβατικό εξοπλισμό.
- Μηχανή αντιστοίχισης μάσκας υψηλής απόδοσης με μεγάλα σετ διευθύνσεων IP. Υποστήριξη για επιλογή περιεχομένου με μάσκα και κανονικές εκφράσεις. Διαχωρισμός αρχείων από την κυκλοφορία, συμπεριλαμβανομένης της αναγνώρισής τους με όνομα, τύπο ή άθροισμα ελέγχου MD5.
- Δυνατότητα χρήσης μεταβλητών σε κανόνες: μπορείτε να αποθηκεύσετε πληροφορίες από τη ροή και αργότερα να τις χρησιμοποιήσετε σε άλλους κανόνες.
- Χρησιμοποιώντας τη μορφή YAML σε αρχεία διαμόρφωσης, η οποία σας επιτρέπει να διατηρείτε την ορατότητα με ευκολία στην επεξεργασία του μηχανήματος.
- Πλήρης υποστήριξη IPv6.
- Ενσωματωμένος κινητήρας για αυτόματη ανασυγκρότηση και επανασυναρμολόγηση πακέτων, ο οποίος επιτρέπει τη διασφάλιση της σωστής επεξεργασίας των ροών, ανεξάρτητα από τη σειρά με την οποία φτάνουν τα πακέτα.
- Υποστήριξη για πρωτόκολλα σήραγγας: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE.
- Υποστήριξη αποκωδικοποίησης πακέτων: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN.
- Λειτουργία καταγραφής για κλειδιά και πιστοποιητικά που εμφανίζονται σε συνδέσεις TLS/SSL.
- Η δυνατότητα σύνταξης σεναρίων Lua για την παροχή προηγμένης ανάλυσης και την εφαρμογή πρόσθετων λειτουργιών που απαιτούνται για τον εντοπισμό τύπων κυκλοφορίας για τους οποίους οι τυπικοί κανόνες δεν επαρκούν.
Πηγή: opennet.ru