Կազմակերպություն OISF (Open Information Security Foundation) ցանցի ներխուժման հայտնաբերման և կանխարգելման համակարգի թողարկում , որն ապահովում է տարբեր տեսակի երթևեկության ստուգման գործիքներ։ Suricata կոնֆիգուրացիաներում հնարավոր է օգտագործել , մշակված Snort նախագծի կողմից, ինչպես նաև կանոնների հավաքածուներ и . Ծրագրի աղբյուրները լիցենզավորված GPLv2-ի համաձայն:
Խոշոր փոփոխություններ.
- Ներդրվել են արձանագրությունների վերլուծության և գրանցման նոր մոդուլներ
RDP, SNMP և SIP գրված Rust-ով: FTP վերլուծության մոդուլն այժմ հնարավորություն ունի մուտք գործել EVE ենթահամակարգի միջոցով, որն ապահովում է իրադարձությունների ելք JSON ձևաչափով; - Ի լրումն վերջին թողարկումում հայտնված JA3 TLS հաճախորդի նույնականացման մեթոդի աջակցության, մեթոդի աջակցություն , Ելնելով կապի բանակցությունների բնութագրերից և նշված պարամետրերից՝ որոշեք, թե ինչ ծրագրային ապահովում է օգտագործվում կապ հաստատելու համար (օրինակ՝ թույլ է տալիս որոշել Tor-ի և այլ ստանդարտ հավելվածների օգտագործումը): JA3-ը թույլ է տալիս սահմանել հաճախորդներ, իսկ JA3S-ը թույլ է տալիս սահմանել սերվերներ: Որոշման արդյունքները կարող են օգտագործվել կանոնների սահմանման լեզվով և տեղեկամատյաններում.
- Ավելացվեց փորձնական հնարավորություն՝ համապատասխանեցնելու մեծ տվյալների հավաքածուներից նմուշները, որոնք իրականացվել են նոր գործողությունների միջոցով . Օրինակ, գործառույթը կիրառելի է միլիոնավոր գրառումներ պարունակող խոշոր սև ցուցակներում դիմակներ որոնելու համար.
- HTTP ստուգման ռեժիմն ապահովում է թեստային փաթեթում նկարագրված բոլոր իրավիճակների ամբողջական լուսաբանումը (օրինակ՝ ծածկում է երթևեկության մեջ վնասակար գործունեությունը թաքցնելու համար օգտագործվող տեխնիկաները);
- Rust լեզվով մոդուլներ մշակելու գործիքները տարբերակներից տեղափոխվել են պարտադիր ստանդարտ հնարավորությունների: Ապագայում նախատեսվում է ընդլայնել Rust-ի օգտագործումը նախագծի կոդի բազայում և աստիճանաբար փոխարինել մոդուլները Rust-ում մշակված անալոգներով;
- Արձանագրության սահմանման շարժիչը բարելավվել է՝ ճշգրտությունը բարելավելու և ասինխրոն երթևեկության հոսքերը կարգավորելու համար.
- «Անոմալիա» մուտքի նոր տեսակի աջակցությունն ավելացվել է EVE մատյանում, որը պահում է փաթեթների վերծանման ժամանակ հայտնաբերված անտիպ իրադարձությունները: EVE-ն նաև ընդլայնել է VLAN-ների և երթևեկության գրավման միջերեսների մասին տեղեկատվության ցուցադրումը: Ավելացվեց տարբերակ՝ բոլոր HTTP վերնագրերը EVE http մատյաններում պահելու համար;
- eBPF-ի վրա հիմնված մշակիչներն ապահովում են փաթեթների գրավումն արագացնելու ապարատային մեխանիզմների աջակցություն: Սարքավորումների արագացումը ներկայումս սահմանափակված է Netronome ցանցային ադապտերներով, սակայն շուտով հասանելի կլինի այլ սարքավորումների համար.
- Netmap Framework-ի միջոցով տրաֆիկի ֆիքսման կոդը վերաշարադրվել է: Ավելացվեց Netmap-ի առաջադեմ գործառույթներ օգտագործելու հնարավորություն, ինչպիսին է վիրտուալ անջատիչը ;
- Կպչուն բուֆերների համար հիմնաբառերի սահմանման նոր սխեմայի աջակցություն: Նոր սխեման սահմանված է «protocol.buffer» ձևաչափով, օրինակ՝ URI-ի ստուգման համար հիմնաբառը կունենա «http.uri» ձևը՝ «http_uri»-ի փոխարեն;
- Օգտագործված Python-ի բոլոր կոդերը փորձարկված են համատեղելիության համար
Python3; - Tilera ճարտարապետության, տեքստային տեղեկամատյանի dns.log և հին log files-json.log-ի աջակցությունը դադարեցվել է:
Suricata-ի առանձնահատկությունները.
- Օգտագործելով միասնական ձևաչափ՝ սկանավորման արդյունքները ցուցադրելու համար , օգտագործվում է նաև Snort նախագծի կողմից, որը թույլ է տալիս օգտագործել ստանդարտ վերլուծության գործիքներ, ինչպիսիք են . BASE, Snorby, Sguil և SQueRT արտադրանքների հետ ինտեգրվելու հնարավորություն։ PCAP ելքային աջակցություն;
- Արձանագրությունների ավտոմատ հայտնաբերման աջակցություն (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB և այլն), որը թույլ է տալիս գործել կանոններով միայն ըստ արձանագրության տեսակի՝ առանց պորտի համարին հղում կատարելու (օրինակ՝ արգելափակել HTTP-ը: երթևեկություն ոչ ստանդարտ նավահանգստի վրա): HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP և SSH արձանագրությունների ապակոդավորիչների առկայությունը;
- HTTP տրաֆիկի վերլուծության հզոր համակարգ, որն օգտագործում է Mod_Security նախագծի հեղինակի կողմից ստեղծված հատուկ HTP գրադարան՝ HTTP տրաֆիկը վերլուծելու և նորմալացնելու համար: Հասանելի է մոդուլ՝ տարանցիկ HTTP փոխանցումների մանրամասն մատյան պահելու համար, գրանցամատյանը պահպանվում է ստանդարտ ձևաչափով
Ապաչի. Աջակցվում է HTTP-ի միջոցով փոխանցված ֆայլերի առբերումը և ստուգումը: Աջակցություն սեղմված բովանդակության վերլուծության համար: URI-ի, Cookie-ի, վերնագրերի, օգտագործող-գործակալի, հարցում/պատասխան մարմնի կողմից նույնականացնելու ունակություն; - Աջակցություն երթևեկության գաղտնալսման տարբեր ինտերֆեյսներին, ներառյալ NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING: Հնարավոր է վերլուծել արդեն պահպանված ֆայլերը PCAP ձևաչափով;
- Բարձր կատարողականություն, սովորական սարքավորումների վրա մինչև 10 գիգաբիթ/վրկ հոսքեր մշակելու ունակություն:
- Բարձր արդյունավետությամբ դիմակի համապատասխան մեխանիզմ IP հասցեների մեծ հավաքածուների համար: Աջակցություն դիմակով և կանոնավոր արտահայտություններով բովանդակություն ընտրելու համար: Ֆայլերի մեկուսացում տրաֆիկից, ներառյալ դրանց նույնականացումը ըստ անվանման, տեսակի կամ MD5 ստուգիչ գումարի:
- Կանոններում փոփոխականներ օգտագործելու ունակություն. դուք կարող եք պահպանել տեղեկատվություն հոսքից և հետագայում օգտագործել այն այլ կանոններում;
- YAML ձևաչափի օգտագործումը կազմաձևման ֆայլերում, որը թույլ է տալիս պահպանել հստակություն՝ միաժամանակ հեշտ մշակվող մեքենայով.
- Ամբողջական IPv6 աջակցություն;
- Ներկառուցված շարժիչ՝ փաթեթների ավտոմատ ապաֆրագմենտացիայի և վերահավաքման համար, որը թույլ է տալիս ճիշտ մշակել հոսքերը՝ անկախ փաթեթների ժամանման հաջորդականությունից.
- Աջակցություն թունելային արձանագրություններին. Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Փաթեթների վերծանման աջակցություն՝ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL կապերում հայտնվող բանալիների և վկայագրերի գրանցման ռեժիմ;
- Լուա լեզվով սկրիպտներ գրելու ունակություն՝ առաջադեմ վերլուծություն տրամադրելու և լրացուցիչ հնարավորություններ իրականացնելու համար, որոնք անհրաժեշտ են երթևեկության տեսակները բացահայտելու համար, որոնց համար ստանդարտ կանոնները բավարար չեն:
Source: opennet.ru