OISF (Open Information Security Foundation) szervezet hálózati behatolásjelző és -megelőzési rendszer kiadása , amely eszközöket biztosít a különböző típusú forgalom ellenőrzéséhez. Suricata konfigurációkban lehetséges használni , amelyet a Snort projekt fejlesztett ki, valamint a szabályokat и . A projekt forrásai GPLv2 licenccel.
Nagy változások:
- Új modulok kerültek bevezetésre a protokollok elemzéséhez és naplózásához
Rust nyelven írt RDP, SNMP és SIP. Az FTP-elemző modul most már képes naplózni az EVE alrendszeren keresztül, amely JSON formátumú eseménykimenetet biztosít; - A legutóbbi kiadásban megjelent JA3 TLS kliens azonosítási módszer támogatása mellett a módszer támogatása , A csatlakozási egyeztetés jellemzői és a megadott paraméterek alapján határozza meg, hogy milyen szoftvert használnak a kapcsolat létrehozásához (például lehetővé teszi a Tor és más szabványos alkalmazások használatának meghatározását). A JA3 lehetővé teszi az ügyfelek, a JA3S pedig a szerverek meghatározását. A meghatározás eredményei felhasználhatók a szabály beállítási nyelven és a naplókban;
- Kísérleti lehetőség a nagy adathalmazokból származó minták egyeztetésére, új műveletekkel valósítva meg . Például a funkció alkalmazható maszkok keresésére a több millió bejegyzést tartalmazó nagy feketelistákon;
- A HTTP vizsgálati mód teljes körű lefedettséget biztosít a tesztcsomagban leírt összes helyzetre (pl. lefedi a rosszindulatú tevékenység elrejtésére használt technikákat a forgalomban);
- A Rust nyelvű modulok fejlesztésére szolgáló eszközök az opciók közül átkerültek a kötelező szabványos képességek közé. A jövőben a tervek szerint kiterjesztik a Rust használatát a projekt kódbázisában, és fokozatosan lecserélik a modulokat a Rustban kifejlesztett analógokra;
- A protokolldefiníciós motort továbbfejlesztették a pontosság növelése és az aszinkron forgalmi áramlások kezelése érdekében;
- Egy új „anomália” bejegyzéstípus támogatása került az EVE naplóba, amely tárolja a csomagok dekódolása során észlelt atipikus eseményeket. Az EVE kibővítette a VLAN-okkal és a forgalomrögzítő felületekkel kapcsolatos információk megjelenítését is. Hozzáadott lehetőség az összes HTTP-fejléc elmentésére az EVE http naplóbejegyzésekben;
- Az eBPF-alapú kezelők támogatást nyújtanak a csomagrögzítés felgyorsítására szolgáló hardveres mechanizmusokhoz. A hardveres gyorsítás jelenleg a Netronome hálózati adapterekre korlátozódik, de hamarosan más berendezésekhez is elérhető lesz;
- A Netmap keretrendszerrel történő forgalomrögzítés kódja át lett írva. Hozzáadtuk a speciális Netmap funkciók, például a virtuális kapcsoló használatának lehetőségét ;
- új kulcsszódefiníciós rendszer támogatása a ragadós pufferekhez. Az új séma a „protocol.buffer” formátumban van definiálva, például egy URI vizsgálatánál a kulcsszó a „http_uri” helyett „http.uri” formátumú lesz;
- Az összes használt Python kód kompatibilitása tesztelve van
Python 3; - A Tilera architektúra, a szöveges napló dns.log és a régi naplófájlok-json.log támogatása megszűnt.
A Suricata jellemzői:
- Egységesített formátum használata a szkennelési eredmények megjelenítéséhez , amelyet a Snort projekt is használ, amely lehetővé teszi olyan szabványos elemző eszközök használatát, mint pl . Integrációs lehetőség BASE, Snorby, Sguil és SQueRT termékekkel. PCAP kimenet támogatás;
- Protokollok automatikus észlelésének támogatása (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB stb.), lehetővé téve, hogy a szabályokban csak protokolltípusonként működjön, a portszámra való hivatkozás nélkül (például blokkolja a HTTP-t forgalom nem szabványos porton) . Dekóderek elérhetősége HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP és SSH protokollokhoz;
- Erőteljes HTTP forgalomelemző rendszer, amely a Mod_Security projekt szerzője által létrehozott speciális HTP-könyvtárat használ a HTTP-forgalom elemzésére és normalizálására. Rendelkezésre áll egy modul a tranzit HTTP átvitelek részletes naplózásához; a napló mentése szabványos formátumban történik
Apache. A HTTP-n keresztül továbbított fájlok visszakeresése és ellenőrzése támogatott. Támogatja a tömörített tartalom elemzését. Azonosítás képessége URI, Cookie, fejlécek, felhasználói ügynök, kérés/válasz törzs alapján; - Különféle interfészek támogatása a forgalom elfogására, beleértve az NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Lehetőség van PCAP formátumban már elmentett fájlok elemzésére;
- Nagy teljesítmény, akár 10 gigabit/sec folyam feldolgozhatósága hagyományos berendezéseken.
- Nagy teljesítményű maszkillesztő mechanizmus nagy számú IP-címhez. Támogatás a tartalom kiválasztásához maszk és reguláris kifejezések alapján. Fájlok elkülönítése a forgalomtól, beleértve azok azonosítását név, típus vagy MD5 ellenőrző összeg alapján.
- Változók használatának lehetősége a szabályokban: elmentheti az információkat egy adatfolyamból, és később felhasználhatja más szabályokban;
- A YAML formátum használata a konfigurációs fájlokban, amely lehetővé teszi a tisztaság megőrzését, miközben könnyen feldolgozható;
- Teljes IPv6 támogatás;
- Beépített motor a csomagok automatikus töredezettségmentesítéséhez és újraösszeállításához, amely lehetővé teszi a folyamok helyes feldolgozását, függetlenül a csomagok érkezési sorrendjétől;
- Alagútkezelési protokollok támogatása: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Csomagdekódolás támogatása: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mód a TLS/SSL kapcsolatokon belül megjelenő kulcsok és tanúsítványok naplózására;
- Lehetőség szkriptek írására Lua-ban, hogy fejlett elemzést végezzenek, és olyan forgalomtípusok azonosításához szükséges további képességek valósuljanak meg, amelyekhez a szabványos szabályok nem elegendőek.
Forrás: opennet.ru