Suricata 5.0 հարձակումների հայտնաբերման համակարգը հասանելի է
Կազմակերպություն OISF (Open Information Security Foundation) опубликовала ցանցի ներխուժման հայտնաբերման և կանխարգելման համակարգի թողարկում Մերկաթ 5.0, որն ապահովում է տարբեր տեսակի երթևեկության ստուգման գործիքներ։ Suricata կոնֆիգուրացիաներում հնարավոր է օգտագործել ստորագրության տվյալների բազաներ, մշակված Snort նախագծի կողմից, ինչպես նաև կանոնների հավաքածուներ Առաջացող սպառնալիքներ и Emerging Threats Pro. Ծրագրի աղբյուրները տարածվել լիցենզավորված GPLv2-ի համաձայն:
Խոշոր փոփոխություններ.
Ներդրվել են արձանագրությունների վերլուծության և գրանցման նոր մոդուլներ
RDP, SNMP և SIP գրված Rust-ով: FTP վերլուծության մոդուլն այժմ հնարավորություն ունի մուտք գործել EVE ենթահամակարգի միջոցով, որն ապահովում է իրադարձությունների ելք JSON ձևաչափով;
Ի լրումն վերջին թողարկումում հայտնված JA3 TLS հաճախորդի նույնականացման մեթոդի աջակցության, մեթոդի աջակցություն JA3S, թույլ տալով Ելնելով կապի բանակցությունների բնութագրերից և նշված պարամետրերից՝ որոշեք, թե ինչ ծրագրային ապահովում է օգտագործվում կապ հաստատելու համար (օրինակ՝ թույլ է տալիս որոշել Tor-ի և այլ ստանդարտ հավելվածների օգտագործումը): JA3-ը թույլ է տալիս սահմանել հաճախորդներ, իսկ JA3S-ը թույլ է տալիս սահմանել սերվերներ: Որոշման արդյունքները կարող են օգտագործվել կանոնների սահմանման լեզվով և տեղեկամատյաններում.
Ավելացվեց փորձնական հնարավորություն՝ համապատասխանեցնելու մեծ տվյալների հավաքածուներից նմուշները, որոնք իրականացվել են նոր գործողությունների միջոցով տվյալների բազա և տվյալների շտեմարան. Օրինակ, գործառույթը կիրառելի է միլիոնավոր գրառումներ պարունակող խոշոր սև ցուցակներում դիմակներ որոնելու համար.
HTTP ստուգման ռեժիմն ապահովում է թեստային փաթեթում նկարագրված բոլոր իրավիճակների ամբողջական լուսաբանումը HTTP Evader (օրինակ՝ ծածկում է երթևեկության մեջ վնասակար գործունեությունը թաքցնելու համար օգտագործվող տեխնիկաները);
Rust լեզվով մոդուլներ մշակելու գործիքները տարբերակներից տեղափոխվել են պարտադիր ստանդարտ հնարավորությունների: Ապագայում նախատեսվում է ընդլայնել Rust-ի օգտագործումը նախագծի կոդի բազայում և աստիճանաբար փոխարինել մոդուլները Rust-ում մշակված անալոգներով;
Արձանագրության սահմանման շարժիչը բարելավվել է՝ ճշգրտությունը բարելավելու և ասինխրոն երթևեկության հոսքերը կարգավորելու համար.
«Անոմալիա» մուտքի նոր տեսակի աջակցությունն ավելացվել է EVE մատյանում, որը պահում է փաթեթների վերծանման ժամանակ հայտնաբերված անտիպ իրադարձությունները: EVE-ն նաև ընդլայնել է VLAN-ների և երթևեկության գրավման միջերեսների մասին տեղեկատվության ցուցադրումը: Ավելացվեց տարբերակ՝ բոլոր HTTP վերնագրերը EVE http մատյաններում պահելու համար;
eBPF-ի վրա հիմնված մշակիչներն ապահովում են փաթեթների գրավումն արագացնելու ապարատային մեխանիզմների աջակցություն: Սարքավորումների արագացումը ներկայումս սահմանափակված է Netronome ցանցային ադապտերներով, սակայն շուտով հասանելի կլինի այլ սարքավորումների համար.
Netmap Framework-ի միջոցով տրաֆիկի ֆիքսման կոդը վերաշարադրվել է: Ավելացվեց Netmap-ի առաջադեմ գործառույթներ օգտագործելու հնարավորություն, ինչպիսին է վիրտուալ անջատիչը VALE;
Ավելացված է Կպչուն բուֆերների համար հիմնաբառերի սահմանման նոր սխեմայի աջակցություն: Նոր սխեման սահմանված է «protocol.buffer» ձևաչափով, օրինակ՝ URI-ի ստուգման համար հիմնաբառը կունենա «http.uri» ձևը՝ «http_uri»-ի փոխարեն;
Օգտագործված Python-ի բոլոր կոդերը փորձարկված են համատեղելիության համար
Python3;
Tilera ճարտարապետության, տեքստային տեղեկամատյանի dns.log և հին log files-json.log-ի աջակցությունը դադարեցվել է:
Suricata-ի առանձնահատկությունները.
Օգտագործելով միասնական ձևաչափ՝ սկանավորման արդյունքները ցուցադրելու համար Միավորված 2, օգտագործվում է նաև Snort նախագծի կողմից, որը թույլ է տալիս օգտագործել ստանդարտ վերլուծության գործիքներ, ինչպիսիք են գոմ2. BASE, Snorby, Sguil և SQueRT արտադրանքների հետ ինտեգրվելու հնարավորություն։ PCAP ելքային աջակցություն;
Արձանագրությունների ավտոմատ հայտնաբերման աջակցություն (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB և այլն), որը թույլ է տալիս գործել կանոններով միայն ըստ արձանագրության տեսակի՝ առանց պորտի համարին հղում կատարելու (օրինակ՝ արգելափակել HTTP-ը: երթևեկություն ոչ ստանդարտ նավահանգստի վրա): HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP և SSH արձանագրությունների ապակոդավորիչների առկայությունը;
HTTP տրաֆիկի վերլուծության հզոր համակարգ, որն օգտագործում է Mod_Security նախագծի հեղինակի կողմից ստեղծված հատուկ HTP գրադարան՝ HTTP տրաֆիկը վերլուծելու և նորմալացնելու համար: Հասանելի է մոդուլ՝ տարանցիկ HTTP փոխանցումների մանրամասն մատյան պահելու համար, գրանցամատյանը պահպանվում է ստանդարտ ձևաչափով
Ապաչի. Աջակցվում է HTTP-ի միջոցով փոխանցված ֆայլերի առբերումը և ստուգումը: Աջակցություն սեղմված բովանդակության վերլուծության համար: URI-ի, Cookie-ի, վերնագրերի, օգտագործող-գործակալի, հարցում/պատասխան մարմնի կողմից նույնականացնելու ունակություն;
Աջակցություն երթևեկության գաղտնալսման տարբեր ինտերֆեյսներին, ներառյալ NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING: Հնարավոր է վերլուծել արդեն պահպանված ֆայլերը PCAP ձևաչափով;
Բարձր կատարողականություն, սովորական սարքավորումների վրա մինչև 10 գիգաբիթ/վրկ հոսքեր մշակելու ունակություն:
Բարձր արդյունավետությամբ դիմակի համապատասխան մեխանիզմ IP հասցեների մեծ հավաքածուների համար: Աջակցություն դիմակով և կանոնավոր արտահայտություններով բովանդակություն ընտրելու համար: Ֆայլերի մեկուսացում տրաֆիկից, ներառյալ դրանց նույնականացումը ըստ անվանման, տեսակի կամ MD5 ստուգիչ գումարի:
Կանոններում փոփոխականներ օգտագործելու ունակություն. դուք կարող եք պահպանել տեղեկատվություն հոսքից և հետագայում օգտագործել այն այլ կանոններում;
YAML ձևաչափի օգտագործումը կազմաձևման ֆայլերում, որը թույլ է տալիս պահպանել հստակություն՝ միաժամանակ հեշտ մշակվող մեքենայով.
Ամբողջական IPv6 աջակցություն;
Ներկառուցված շարժիչ՝ փաթեթների ավտոմատ ապաֆրագմենտացիայի և վերահավաքման համար, որը թույլ է տալիս ճիշտ մշակել հոսքերը՝ անկախ փաթեթների ժամանման հաջորդականությունից.
TLS/SSL կապերում հայտնվող բանալիների և վկայագրերի գրանցման ռեժիմ;
Լուա լեզվով սկրիպտներ գրելու ունակություն՝ առաջադեմ վերլուծություն տրամադրելու և լրացուցիչ հնարավորություններ իրականացնելու համար, որոնք անհրաժեշտ են երթևեկության տեսակները բացահայտելու համար, որոնց համար ստանդարտ կանոնները բավարար չեն: