Suricata 6.0 tunkeutumisen havaitsemisjärjestelmän julkaisu
Vuoden kehitystyön jälkeen OISF (Open Information Security Foundation) -organisaatio julkaistu verkon tunkeutumisen havaitsemis- ja estojärjestelmän vapauttaminen Meerkat 6.0, joka tarjoaa työkaluja erilaisten liikennemuotojen tarkastamiseen. Suricata-kokoonpanoissa on mahdollista käyttää allekirjoitustietokannat, jonka on kehittänyt Snort-projekti, sekä sääntöjä Esiin tulevat uhkat и Emerging Threats Pro. Hankkeen lähteet levitän lisensoitu GPLv2:lla.
Suurimmat muutokset:
HTTP/2:n alustava tuki.
RFB- ja MQTT-protokollien tuki, mukaan lukien kyky määrittää protokolla ja ylläpitää lokia.
Mahdollisuus kirjautua DCERPC-protokollalle.
Merkittävä parannus kirjaussuorituskykyyn EVE-alijärjestelmän kautta, joka tarjoaa tapahtumatulosteen JSON-muodossa. Kiihtyvyys saavutettiin uuden Rust-kielellä kirjoitetun JSON-varastonmuodostajan käytön ansiosta.
EVE-lokijärjestelmän skaalautuvuutta on lisätty ja kyky ylläpitää erillistä lokitiedostoa jokaiselle säikeelle on otettu käyttöön.
Kyky määritellä ehtoja tietojen palauttamiselle lokiin.
Mahdollisuus heijastaa MAC-osoitteita EVE-lokissa ja lisätä DNS-lokin yksityiskohtia.
Käsittelyn koodi on kirjoitettu uudelleen rust-kielellä ASN.1, DCERPC ja SSH. Rust tukee myös uusia protokollia.
Säännön määrityskielessä parametrin from_end tuki on lisätty byte_jump-avainsanaan ja bittimask-parametrin tuki on lisätty parametriin byte_test. Otettiin käyttöön pcrexform-avainsana, jotta säännöllisiä lausekkeita (pcre) voidaan käyttää alimerkkijonon kaappaamiseen. Lisätty urldecode-muunnos. Lisätty byte_math avainsana.
Tarjoaa mahdollisuuden käyttää cbindgeniä sidosten luomiseen Rust- ja C-kielillä.
Lisätty alustava laajennustuki.
Suricatan ominaisuudet:
Skannaustulosten näyttämiseen käytetään yhtenäistä muotoa Unified2, jota myös Snort-projekti käyttää, mikä mahdollistaa tavallisten analyysityökalujen, kuten esim piha 2. Mahdollisuus integroida BASE-, Snorby-, Sguil- ja SQueRT-tuotteiden kanssa. PCAP-ulostulotuki;
Tuki protokollien (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB jne.) automaattiselle tunnistamiselle, jolloin voit toimia säännöissä vain protokollatyypin mukaan, ilman viittausta portin numeroon (esim. estä HTTP liikennettä ei-standardissa portissa). Dekooderien saatavuus HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- ja SSH-protokollia varten;
Tehokas HTTP-liikenteen analysointijärjestelmä, joka käyttää Mod_Security-projektin kirjoittajan luomaa erityistä HTP-kirjastoa HTTP-liikenteen jäsentämiseen ja normalisoimiseen. Käytettävissä on moduuli, jolla ylläpidetään yksityiskohtaista lokia HTTP-siirroista; loki tallennetaan vakiomuodossa
Apache. HTTP:n kautta lähetettyjen tiedostojen haku ja tarkistaminen on tuettu. Tuki pakatun sisällön jäsentämiseen. Kyky tunnistaa URI:n, evästeen, otsikoiden, käyttäjäagentin, pyynnön/vastaustekstin perusteella;
Tuki erilaisille rajapinnoille liikenteen sieppaamiseen, mukaan lukien NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. On mahdollista analysoida jo tallennettuja tiedostoja PCAP-muodossa;
Korkea suorituskyky, kyky käsitellä virtauksia jopa 10 gigabittiä sekunnissa perinteisillä laitteilla.
Tehokas maskin täsmäytysmekanismi suurille IP-osoitteille. Tuki sisällön valitsemiseen maskin ja säännöllisten lausekkeiden avulla. Tiedostojen eristäminen liikenteestä, mukaan lukien niiden tunnistaminen nimen, tyypin tai MD5-tarkistussumman perusteella.
Mahdollisuus käyttää muuttujia säännöissä: voit tallentaa tietoja virrasta ja käyttää niitä myöhemmin muissa säännöissä;
YAML-muodon käyttö määritystiedostoissa, mikä mahdollistaa selkeyden säilyttämisen samalla kun se on helppo työstää;
Täysi IPv6-tuki;
Sisäänrakennettu moottori pakettien automaattiseen eheyttämiseen ja uudelleen kokoamiseen, mikä mahdollistaa virtojen oikean käsittelyn pakettien saapumisjärjestyksestä riippumatta;
Tuki tunnelointiprotokollalle: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Tila TLS/SSL-yhteyksissä esiintyvien avainten ja varmenteiden kirjaamiseen;
Kyky kirjoittaa skriptejä Luassa edistyneen analyysin tarjoamiseksi ja lisäominaisuuksien toteuttamiseksi, joita tarvitaan tunnistamaan liikennetyypit, joille vakiosäännöt eivät riitä.