Organización OISF (Fundación Abierta para la Seguridad de la Información) lanzamiento del sistema de detección y prevención de intrusiones en la red , que proporciona herramientas para inspeccionar varios tipos de tráfico. En las configuraciones de Suricata es posible utilizar , desarrollado por el proyecto Snort, así como conjuntos de reglas и . Fuentes del proyecto licenciado bajo GPLv2.
Cambios importantes:
- Se han introducido nuevos módulos para protocolos de análisis y registro.
RDP, SNMP y SIP escritos en Rust. Se agregó la capacidad de iniciar sesión a través del subsistema EVE al módulo de análisis FTP, lo que proporciona resultados de eventos en formato JSON; - Además del soporte para el método de identificación de cliente JA3 TLS que apareció en la última versión, soporte para el método , Según las características de la negociación de la conexión y los parámetros especificados, determine qué software se utiliza para establecer una conexión (por ejemplo, le permite determinar el uso de Tor y otras aplicaciones estándar). JA3 le permite definir clientes y JA3S le permite definir servidores. Los resultados de la determinación se pueden utilizar en el lenguaje de configuración de reglas y en los registros;
- Se agregó capacidad experimental para comparar muestras de grandes conjuntos de datos, implementada mediante nuevas operaciones. . Por ejemplo, la función se aplica a la búsqueda de máscaras en grandes listas negras que contienen millones de entradas;
- El modo de inspección HTTP proporciona una cobertura completa de todas las situaciones descritas en el conjunto de pruebas. (por ejemplo, cubre técnicas utilizadas para ocultar actividad maliciosa en el tráfico);
- Las herramientas para desarrollar módulos en lenguaje Rust se han transferido de opciones a capacidades estándar obligatorias. En el futuro, está previsto ampliar el uso de Rust en la base del código del proyecto y reemplazar gradualmente los módulos con análogos desarrollados en Rust;
- El motor de definición de protocolo se ha mejorado para mejorar la precisión y manejar flujos de tráfico asincrónicos;
- Se agregó soporte para un nuevo tipo de entrada de "anomalía" al registro EVE, que almacena eventos atípicos detectados al decodificar paquetes. EVE también ha ampliado la visualización de información sobre VLAN e interfaces de captura de tráfico. Se agregó una opción para guardar todos los encabezados HTTP en las entradas del registro http de EVE;
- Los controladores basados en eBPF brindan soporte para mecanismos de hardware para acelerar la captura de paquetes. La aceleración de hardware está actualmente limitada a los adaptadores de red Netronome, pero pronto estará disponible para otros equipos;
- Se ha reescrito el código para capturar tráfico utilizando el marco Netmap. Se agregó la capacidad de utilizar funciones avanzadas de Netmap, como un conmutador virtual. ;
- soporte para un nuevo esquema de definición de palabras clave para Sticky Buffers. El nuevo esquema se define en el formato “protocol.buffer”, por ejemplo, para inspeccionar un URI, la palabra clave tomará la forma “http.uri” en lugar de “http_uri”;
- Se prueba la compatibilidad de todo el código Python utilizado con
Pitón 3; - Se ha suspendido la compatibilidad con la arquitectura Tilera, el registro de texto dns.log y los archivos de registro antiguos-json.log.
Características de Suricata:
- Usar un formato unificado para mostrar los resultados del escaneo , también utilizado por el proyecto Snort, que permite el uso de herramientas de análisis estándar como . Posibilidad de integración con productos BASE, Snorby, Sguil y SQueRT. soporte de salida PCAP;
- Soporte para detección automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), lo que le permite operar en reglas solo por tipo de protocolo, sin referencia al número de puerto (por ejemplo, bloquear HTTP tráfico en un puerto no estándar). Disponibilidad de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP y SSH;
- Un potente sistema de análisis de tráfico HTTP que utiliza una biblioteca HTP especial creada por el autor del proyecto Mod_Security para analizar y normalizar el tráfico HTTP. Hay un módulo disponible para mantener un registro detallado de las transferencias HTTP en tránsito; el registro se guarda en un formato estándar
Apache. Se admite la recuperación y verificación de archivos transmitidos a través de HTTP. Soporte para analizar contenido comprimido. Capacidad de identificar por URI, cookie, encabezados, agente de usuario, cuerpo de solicitud/respuesta; - Soporte para varias interfaces para interceptación de tráfico, incluidas NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Es posible analizar archivos ya guardados en formato PCAP;
- Alto rendimiento, capacidad de procesar flujos de hasta 10 gigabits/s en equipos convencionales.
- Mecanismo de coincidencia de máscaras de alto rendimiento para grandes conjuntos de direcciones IP. Soporte para selección de contenido por máscara y expresiones regulares. Aislar archivos del tráfico, incluida su identificación por nombre, tipo o suma de comprobación MD5.
- Capacidad de usar variables en reglas: puede guardar información de una secuencia y luego usarla en otras reglas;
- Uso del formato YAML en archivos de configuración, que le permite mantener la claridad y al mismo tiempo ser fácil de procesar por máquina;
- Soporte completo de IPv6;
- Motor incorporado para desfragmentación y reensamblaje automático de paquetes, lo que permite el procesamiento correcto de flujos, independientemente del orden en que llegan los paquetes;
- Soporte para protocolos de túnel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Soporte de decodificación de paquetes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modo para registrar claves y certificados que aparecen dentro de las conexiones TLS/SSL;
- La capacidad de escribir scripts en Lua para proporcionar análisis avanzados e implementar capacidades adicionales necesarias para identificar tipos de tráfico para los cuales las reglas estándar no son suficientes.
Fuente: opennet.ru