Organización OISF (Open Information Security Foundation) liberación do sistema de detección e prevención de intrusións na rede , que proporciona ferramentas para inspeccionar varios tipos de tráfico. Nas configuracións de Suricata é posible usar , desenvolvido polo proxecto Snort, así como conxuntos de normas и . Fontes do proxecto licenciado baixo GPLv2.
Principais cambios:
- Introducíronse novos módulos para protocolos de análise e rexistro
RDP, SNMP e SIP escritos en Rust. A capacidade de iniciar sesión a través do subsistema EVE engadiuse ao módulo de análise FTP, proporcionando saída de eventos en formato JSON; - Ademais do soporte para o método de identificación do cliente JA3 TLS que apareceu na última versión, soporte para o método , En función das características da negociación de conexión e dos parámetros especificados, determine que software se usa para establecer unha conexión (por exemplo, permítelle determinar o uso de Tor e outras aplicacións estándar). JA3 permítelle definir clientes e JA3S permítelle definir servidores. Os resultados da determinación pódense utilizar no idioma de definición de regras e nos rexistros;
- Engadiuse a capacidade experimental para combinar mostras de grandes conxuntos de datos, implementada mediante novas operacións . Por exemplo, a función é aplicable á busca de máscaras en grandes listas negras que conteñen millóns de entradas;
- O modo de inspección HTTP ofrece unha cobertura total de todas as situacións descritas no conxunto de probas (por exemplo, abrangue técnicas utilizadas para ocultar actividade maliciosa no tráfico);
- As ferramentas para desenvolver módulos na linguaxe Rust foron transferidas de opcións a capacidades estándar obrigatorias. No futuro, está previsto ampliar o uso de Rust na base de código do proxecto e substituír gradualmente os módulos por análogos desenvolvidos en Rust;
- Mellorouse o motor de definición do protocolo para mellorar a precisión e xestionar fluxos de tráfico asíncronos;
- Engadiuse soporte para un novo tipo de entrada "anomalía" ao rexistro EVE, que almacena eventos atípicos detectados ao descodificar paquetes. EVE tamén ampliou a visualización de información sobre VLAN e interfaces de captura de tráfico. Engadida opción para gardar todas as cabeceiras HTTP nas entradas de rexistro http de EVE;
- Os controladores baseados en eBPF ofrecen soporte para mecanismos de hardware para acelerar a captura de paquetes. A aceleración de hardware está limitada actualmente aos adaptadores de rede Netronome, pero en breve estará dispoñible para outros equipos;
- Reescribíuse o código para capturar tráfico usando o marco de rede Netmap. Engadida a posibilidade de usar funcións avanzadas de Netmap, como un interruptor virtual ;
- soporte para un novo esquema de definición de palabras clave para Sticky Buffers. O novo esquema defínese no formato "protocol.buffer", por exemplo, para inspeccionar un URI, a palabra clave terá a forma "http.uri" en lugar de "http_uri";
- Todo o código Python utilizado está probado para a súa compatibilidade
Python 3; - O soporte para a arquitectura Tilera, o rexistro de texto dns.log e os antigos ficheiros de rexistro-json.log descontinuouse.
Características de Suricata:
- Usando un formato unificado para mostrar os resultados da exploración , tamén utilizado polo proxecto Snort, que permite o uso de ferramentas de análise estándar como . Posibilidade de integración con produtos BASE, Snorby, Sguil e SQueRT. soporte de saída PCAP;
- Soporte para a detección automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), o que lle permite operar en regras só por tipo de protocolo, sen facer referencia ao número de porto (por exemplo, bloquear HTTP). tráfico nun porto non estándar). Dispoñibilidade de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
- Un poderoso sistema de análise de tráfico HTTP que utiliza unha biblioteca HTP especial creada polo autor do proxecto Mod_Security para analizar e normalizar o tráfico HTTP. Hai un módulo dispoñible para manter un rexistro detallado das transferencias HTTP de tránsito; o rexistro gárdase nun formato estándar
Apache. Admítese a recuperación e comprobación de ficheiros transmitidos a través de HTTP. Soporte para analizar contido comprimido. Capacidade de identificar por URI, cookie, cabeceiras, axente de usuario, corpo de solicitude/resposta; - Compatibilidade con varias interfaces para a interceptación do tráfico, incluíndo NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. É posible analizar ficheiros xa gardados en formato PCAP;
- Alto rendemento, capacidade de procesar fluxos de ata 10 gigabits/s en equipos convencionais.
- Mecanismo de coincidencia de máscaras de alto rendemento para grandes conxuntos de enderezos IP. Soporte para seleccionar contido por máscara e expresións regulares. Illar ficheiros do tráfico, incluída a súa identificación por nome, tipo ou suma de verificación MD5.
- Capacidade de usar variables nas regras: pode gardar información dun fluxo e usala posteriormente noutras regras;
- Uso do formato YAML nos ficheiros de configuración, o que permite manter a claridade ao tempo que é fácil de procesar;
- Compatibilidade total con IPv6;
- Motor incorporado para a desfragmentación automática e a montaxe de paquetes, permitindo o procesamento correcto dos fluxos, independentemente da orde na que chegan os paquetes;
- Soporte para protocolos de tunelización: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Soporte de decodificación de paquetes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modo para rexistrar claves e certificados que aparecen nas conexións TLS/SSL;
- A capacidade de escribir scripts en Lua para proporcionar análises avanzadas e implementar capacidades adicionais necesarias para identificar tipos de tráfico para os que as regras estándar non son suficientes.
Fonte: opennet.ru