Aastase arengu järel OISF (Open Information Security Foundation) organisatsioon võrgu sissetungi tuvastamise ja ennetamise süsteemi vabastamine , mis pakub vahendit erinevat tüüpi liikluse kontrollimiseks. Suricata konfiguratsioonides on see lubatud kasutada , mille on välja töötanud Snort projekt, aga ka reeglid и . Projekti lähtekood litsentsitud GPLv2 alusel.
Peamised muudatused:
- HTTP/2 esialgne tugi.
- RFB ja MQTT protokollide tugi, sealhulgas võimalus protokolli määratleda ja logi pidada.
- DCERPC protokolli logimise võimalus.
- Logimise jõudluse märkimisväärne paranemine EVE alamsüsteemi kaudu, mis pakub sündmuste väljundit JSON-vormingus. Kiirendus saavutati tänu uue Rust keeles kirjutatud JSON stock builderi kasutamisele.
- Suurendatud on EVE logisüsteemi skaleeritavust ja juurutatud on võimalus pidada iga lõime kohta eraldi logifaili.
- Võimalus määratleda logi teabe lähtestamise tingimused.
- Võimalus kajastada MAC-aadresse EVE logis ja suurendada DNS-logi detailsust.
- Voolumootori jõudluse parandamine.
- Tugi SSH juurutuste tuvastamiseks ().
- Tunneldekoodri GENEVE rakendamine.
- Töötlemise kood on ümber kirjutatud Rust keeles , DCERPC ja SSH. Rust toetab ka uusi protokolle.
- Reegli määratlemise keeles on parameetri from_end tugi lisatud märksõnale byte_jump ja bitmaski parameetri tugi on lisatud parameetrile byte_test. Rakendas märksõna pcrexform, et võimaldada regulaaravaldiste (pcre) kasutamist alamstringi hõivamiseks. Lisatud urldecode'i teisendus. Lisatud märksõna byte_math.
- Annab võimaluse kasutada cbindgenit sidemete loomiseks Rust- ja C-keeltes.
- Lisatud esialgne pistikprogrammi tugi.
Suricata omadused:
- Valideerimistulemuste kuvamiseks ühtse vormingu kasutamine , mida kasutab ka projekt Snort, võimaldades kasutada standardseid analüüsitööriistu, nagu . Võimalus integreerida BASE, Snorby, Sguil ja SQueRT toodetega. PCAP-vormingus väljundi tugi;
- Protokollide (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne) automaatse tuvastamise tugi, mis võimaldab reeglites töötada ainult protokolli tüübi järgi, viitamata pordi numbrile (näiteks , et blokeerida mittestandardse pordi HTTP-liiklus) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ja SSH protokollide dekoodrid;
- Võimas HTTP liikluse analüüsisüsteem, mis kasutab HTTP liikluse sõelumiseks ja normaliseerimiseks spetsiaalset HTP teeki, mille on loonud Mod_Security projekti autor. Transiidi HTTP ülekannete üksikasjaliku logi pidamiseks on saadaval moodul, logi salvestatakse standardvormingus
Apache. Toetatakse HTTP-protokolli kaudu edastatud failide ekstraheerimist ja kontrollimist. Pakitud sisu sõelumise tugi. Võimalus tuvastada URI, küpsise, päiste, kasutajaagendi, päringu/vastuse keha järgi; - Erinevate liideste tugi liikluse pealtkuulamiseks, sealhulgas NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Võimalik on analüüsida juba salvestatud faile PCAP formaadis;
- Suur jõudlus, võimalus töödelda tavaseadmetega vooge kuni 10 gigabitti sekundis.
- Suure jõudlusega maskide sobitamise mootor suurte IP-aadresside komplektidega. Sisu valimise tugi maski ja regulaaravaldiste abil. Failide eraldamine liiklusest, sealhulgas nende tuvastamine nime, tüübi või MD5 kontrollsumma järgi.
- Võimalus kasutada reeglites muutujaid: saate salvestada teavet voost ja kasutada seda hiljem teistes reeglites;
- YAML-vormingu kasutamine konfiguratsioonifailides, mis võimaldab säilitada nähtavust masina töötlemise lihtsusega;
- täielik IPv6 tugi;
- Sisseehitatud mootor pakettide automaatseks defragmentimiseks ja uuesti kokkupanemiseks, mis võimaldab tagada voogude korrektse töötlemise, olenemata pakettide saabumise järjekorrast;
- Tunneldamisprotokollide tugi: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Pakettdekodeerimise tugi: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL-ühendustes kuvatavate võtmete ja sertifikaatide logimisrežiim;
- Võimalus kirjutada Lua skripte, et pakkuda täpsemat analüüsi ja rakendada lisafunktsioone, mis on vajalikud liiklustüüpide tuvastamiseks, mille jaoks standardreeglitest ei piisa.
Allikas: opennet.ru