Suricata 5.0 hyökkäyksentunnistusjärjestelmä saatavilla
Organisaatio OISF (Open Information Security Foundation) julkaistu verkon tunkeutumisen havaitsemis- ja estojärjestelmän vapauttaminen Meerkat 5.0, joka tarjoaa työkaluja erilaisten liikennemuotojen tarkastamiseen. Suricata-kokoonpanoissa on mahdollista käyttää allekirjoitustietokannat, jonka on kehittänyt Snort-projekti, sekä sääntöjä Esiin tulevat uhkat и Emerging Threats Pro. Hankkeen lähteet levitän lisensoitu GPLv2:lla.
Suurimmat muutokset:
Uusia moduuleja jäsennys- ja kirjausprotokollia varten on otettu käyttöön
RDP, SNMP ja SIP kirjoitettu ruosteella. Mahdollisuus kirjautua EVE-alijärjestelmän kautta on lisätty FTP-jäsennysmoduuliin, joka tarjoaa tapahtumatulosteen JSON-muodossa;
Viime julkaisussa ilmestyneen JA3 TLS -asiakastunnistusmenetelmän tuen lisäksi menetelmän tuki JA3S, sallimalla Määritä yhteysneuvottelun ominaisuuksien ja määritettyjen parametrien perusteella, mitä ohjelmistoa yhteyden muodostamiseen käytetään (sen avulla voit esimerkiksi määrittää Torin ja muiden vakiosovellusten käytön). JA3:ssa voit määrittää asiakkaita ja JA3S:ssä palvelimia. Määrityksen tuloksia voidaan käyttää sääntöasetuskielellä ja lokeissa;
Lisätty kokeellinen kyky sovittaa näytteitä suurista tietojoukoista, toteutettu uusilla operaatioilla tietojoukko ja datarep. Ominaisuus soveltuu esimerkiksi maskien etsimiseen suurilta mustilta listoilta, jotka sisältävät miljoonia merkintöjä;
HTTP-tarkastustila kattaa kaikki testipaketissa kuvatut tilanteet HTTP Evader (esim. kattaa tekniikat, joita käytetään haitallisen toiminnan piilottamiseen liikenteessä);
Ruost-kielisten moduulien kehittämistyökalut on siirretty lisävarusteista pakollisiin vakioominaisuuksiin. Tulevaisuudessa on tarkoitus laajentaa Rustin käyttöä projektikoodikannassa ja korvata moduulit asteittain Rustissa kehitetyillä analogeilla;
Protokollan määrittelymoottoria on parannettu tarkkuuden parantamiseksi ja asynkronisten liikennevirtojen käsittelemiseksi;
Tuki uudelle "poikkeama"-merkintätyypille on lisätty EVE-lokiin, joka tallentaa paketteja dekoodattaessa havaitut epätyypilliset tapahtumat. EVE on myös laajentanut VLAN-verkkojen ja liikenteen kaappausliitäntöjen tietojen näyttöä. Lisätty mahdollisuus tallentaa kaikki HTTP-otsikot EVE http -lokimerkintöihin;
eBPF-pohjaiset käsittelijät tukevat laitteistomekanismeja pakettien sieppauksen nopeuttamiseksi. Laitteistokiihdytys on tällä hetkellä rajoitettu Netronome-verkkosovittimiin, mutta se on pian saatavilla muille laitteille;
Koodi liikenteen sieppaamiseksi Netmap-kehyksen avulla on kirjoitettu uudelleen. Lisätty mahdollisuus käyttää kehittyneitä Netmap-ominaisuuksia, kuten virtuaalikytkintä VALE;
lisätty tuki uudelle avainsanojen määrittelyjärjestelmälle Sticky Puskureille. Uusi malli on määritelty "protocol.buffer"-muodossa, esimerkiksi URI:n tarkastuksessa avainsana on muotoa "http.uri" "http_uri" sijaan;
Kaiken käytetyn Python-koodin yhteensopivuus on testattu
Python3;
Tilera-arkkitehtuurin, tekstilokin dns.log ja vanhan lokitiedostot-json.log tuki on lopetettu.
Suricatan ominaisuudet:
Skannaustulosten näyttämiseen käytetään yhtenäistä muotoa Unified2, jota myös Snort-projekti käyttää, mikä mahdollistaa tavallisten analyysityökalujen, kuten esim piha 2. Mahdollisuus integroida BASE-, Snorby-, Sguil- ja SQueRT-tuotteiden kanssa. PCAP-ulostulotuki;
Tuki protokollien (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne.) automaattiselle tunnistamiselle, jolloin voit toimia säännöissä vain protokollatyypin mukaan, ilman viittausta portin numeroon (esim. estä HTTP liikennettä ei-standardissa portissa). Dekooderien saatavuus HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- ja SSH-protokollia varten;
Tehokas HTTP-liikenteen analysointijärjestelmä, joka käyttää Mod_Security-projektin kirjoittajan luomaa erityistä HTP-kirjastoa HTTP-liikenteen jäsentämiseen ja normalisoimiseen. Käytettävissä on moduuli, jolla ylläpidetään yksityiskohtaista lokia HTTP-siirroista; loki tallennetaan vakiomuodossa
Apache. HTTP:n kautta lähetettyjen tiedostojen haku ja tarkistaminen on tuettu. Tuki pakatun sisällön jäsentämiseen. Kyky tunnistaa URI:n, evästeen, otsikoiden, käyttäjäagentin, pyynnön/vastaustekstin perusteella;
Tuki erilaisille rajapinnoille liikenteen sieppaamiseen, mukaan lukien NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. On mahdollista analysoida jo tallennettuja tiedostoja PCAP-muodossa;
Korkea suorituskyky, kyky käsitellä virtauksia jopa 10 gigabittiä sekunnissa perinteisillä laitteilla.
Tehokas maskin täsmäytysmekanismi suurille IP-osoitteille. Tuki sisällön valitsemiseen maskin ja säännöllisten lausekkeiden avulla. Tiedostojen eristäminen liikenteestä, mukaan lukien niiden tunnistaminen nimen, tyypin tai MD5-tarkistussumman perusteella.
Mahdollisuus käyttää muuttujia säännöissä: voit tallentaa tietoja virrasta ja käyttää niitä myöhemmin muissa säännöissä;
YAML-muodon käyttö määritystiedostoissa, mikä mahdollistaa selkeyden säilyttämisen samalla kun se on helppo työstää;
Täysi IPv6-tuki;
Sisäänrakennettu moottori pakettien automaattiseen eheyttämiseen ja uudelleen kokoamiseen, mikä mahdollistaa virtojen oikean käsittelyn pakettien saapumisjärjestyksestä riippumatta;
Tuki tunnelointiprotokollalle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Tila TLS/SSL-yhteyksissä esiintyvien avainten ja varmenteiden kirjaamiseen;
Kyky kirjoittaa skriptejä Luassa edistyneen analyysin tarjoamiseksi ja lisäominaisuuksien toteuttamiseksi, joita tarvitaan tunnistamaan liikennetyypit, joille vakiosäännöt eivät riitä.