OISF erakundea (Open Information Security Foundation) sareko intrusioak detektatzeko eta prebenitzeko sistema askatzea , hainbat trafiko mota ikuskatzeko baliabidea eskaintzen duena. Suricata konfigurazioetan, zilegi da erabiltzea , Snort proiektuak garatua, baita arau multzoak ere ΠΈ . Proiektuaren iturburu kodea GPLv2 lizentziapean.
Aldaketa nagusiak:
- Analisi- eta erregistro-modulu berriak sartu ditu protokoloetarako
RDP, SNMP eta SIP Rust-en idatzita. Gertaeren irteera JSON formatuan ematen duen EVE azpisistemaren bidez erregistratzeko gaitasuna gehitu da FTP analizatzeko moduluan; - Aurreko bertsioan sartutako JA3 TLS bezeroaren autentifikazio metodorako laguntzaz gain, metodorako laguntza. , konexioaren negoziazioaren berezitasunetan eta zehaztutako parametroetan oinarrituta, konexio bat ezartzeko zein software erabiltzen den zehaztu (adibidez, Tor eta beste aplikazio tipiko batzuen erabilera zehazteko aukera ematen du). JA3-k bezeroak eta JA3S - zerbitzariak definitzea ahalbidetzen du. Determinazioaren emaitzak arauak ezartzeko hizkuntzan eta erregistroetan erabil daitezke;
- Datu-multzo handien lagin batekin bat etortzeko gaitasun esperimentala gehitu da, eragiketa berriak erabiliz inplementatuta . Esaterako, funtzioa aplikazioa da milioika sarrera dituzten zerrenda beltz handietan maskarak bilatzeko;
- HTTP ikuskapen moduak proba multzoan deskribatutako egoera guztien estaldura osoa eskaintzen du (adibidez, trafikoan jarduera gaiztoak ezkutatzeko erabiltzen diren metodoak biltzen ditu);
- Rust moduluak garatzeko tresnak aukeretatik beharrezko ezaugarri estandaretara eraman dira. Etorkizunean, proiektuaren kode oinarrian Rust-en erabilera zabaltzea eta pixkanaka moduluak Rust-en garatutako analogoekin ordezkatzea aurreikusi da;
- Protokoloa hautemateko motorra hobetu da trafiko-fluxu asinkronoen zehaztasunari eta kudeaketari dagokionez;
- EVE erregistroari euskarria gehitu zaio erregistro mota berri baterako, "anomalia", paketeak deskodetzen direnean detektatzen diren gertaera atipikoak gordetzen dituena. EVEk VLANei eta trafikoa harrapatzeko interfazeei buruzko informazioaren bistaratzea ere zabaldu zuen. Aukera gehitu da HTTP goiburu guztiak EVE erregistroko http sarreretan gordetzeko;
- eBPF-n oinarritutako kudeatzaileek paketeen harrapaketa bizkortzeko hardware-mekanismoetarako laguntza eskaintzen dute. Hardwarearen azelerazioa Netronome sare-egokigailuetara mugatuta dago, baina laster beste ekipoetarako agertuko da;
- Netmap esparrua erabiliz trafikoa harrapatzeko kodea berridatzia. Netmap funtzio aurreratuak erabiltzeko gaitasuna gehitu da, hala nola etengailu birtuala ;
- Sticky Buffer-en gako-hitz-definizio eskema berrirako laguntza. Eskema berria protocol.buffer formatuan definitzen da, adibidez, URI bat barneratzeko, gako-hitza "http.uri" izango litzateke "http_uri"ren ordez;
- Erabilitako Python kode guztiarekin bateragarritasuna probatu da
Python3; - Tilera arkitektura, dns.log testu-erregistroa eta files-json.log erregistro zaharraren laguntza eten egin da.
Suricataren ezaugarriak:
- Balidazio-emaitzak bistaratzeko formatu bateratua erabiltzea , Snort proiektuak ere erabiltzen duena, esate baterako analisi tresna estandarrak erabiltzeko aukera emanez . BASE, Snorby, Sguil eta SQueRT produktuekin integratzeko gaitasuna. Irteerarako euskarria PCAP formatuan;
- Protokoloak automatikoki hautemateko euskarria (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etab.), arauetan soilik protokolo motaren arabera jardutea ahalbidetzen duena, ataka zenbakiari erreferentziarik egin gabe (adibidez. , estandar ez den ataka batean HTTP trafikoa blokeatzeko). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP eta SSH protokoloetarako deskodetzaileak;
- HTTP trafikoa aztertzeko sistema indartsua, Mod_Security proiektuaren egileak sortutako HTP liburutegi berezi bat erabiltzen duena HTTP trafikoa analizatzeko eta normalizatzeko. Modulu bat dago eskuragarri HTTP garraio-transferentziaren erregistro zehatza mantentzeko, erregistroa formatu estandarrean gordetzen da
Apache. HTTP protokoloaren bidez transferitutako fitxategiak ateratzea eta egiaztatzea onartzen da. Konprimitutako edukia analizatzeko laguntza. URI, cookie, goiburuen, erabiltzaile-agentearen, eskaera/erantzun gorputzaren arabera identifikatzeko gaitasuna; - Trafikoa atzemateko hainbat interfazeren laguntza, besteak beste, NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Dagoeneko gordetako fitxategiak PCAP formatuan azter daitezke;
- Errendimendu handia, ohiko ekipoetan 10 gigabit/seko korronteak prozesatzeko gaitasuna.
- Errendimendu handiko maskara bat etortzeko motorra IP helbide multzo handiekin. Maskara eta adierazpen erregular bidez edukia aukeratzeko laguntza. Fitxategiak trafikotik bereiztea, izenaren, motaren edo MD5 checksumaren bidez identifikatzea barne.
- Aldagaiak arauetan erabiltzeko gaitasuna: korrontearen informazioa gorde dezakezu eta gero beste arau batzuetan erabil dezakezu;
- YAML formatua erabiltzea konfigurazio fitxategietan, eta horrek argitasuna mantentzea ahalbidetzen du makina prozesatzeko erraztasunarekin;
- IPv6 euskarria osoa;
- Paketeen desfragmentazio eta birmuntaketa automatikorako motor integratua, korronteen prozesamendu zuzena bermatzeko aukera ematen duena, paketeak iristen diren ordena edozein dela ere;
- Tunel-protokoloetarako euskarria: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Pakete deskodetzeko laguntza: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL konexioetan agertzen diren gako eta ziurtagirien erregistro-modua;
- Lua script-ak idazteko gaitasuna, analisi aurreratuak emateko eta arau estandarrak nahikoa ez diren trafiko motak identifikatzeko behar diren funtzio osagarriak ezartzeko.
Iturria: opennet.ru