Organizzazione OISF (Fondazione aperta per la sicurezza delle informazioni) rilascio del sistema di rilevamento e prevenzione delle intrusioni in rete , che fornisce uno strumento per ispezionare vari tipi di traffico. Nelle configurazioni Suricata, è consentito l'uso , sviluppato dal progetto Snort, nonché una serie di regole и . Codice sorgente del progetto concesso in licenza con GPLv2.
Principali modifiche:
- Introdotti nuovi moduli di analisi e registrazione per i protocolli
RDP, SNMP e SIP scritti in Rust. Al modulo di analisi FTP è stata aggiunta la possibilità di accedere tramite il sottosistema EVE, che fornisce l'output degli eventi in formato JSON; - Oltre al supporto per il metodo di autenticazione del client TLS JA3 introdotto nella versione precedente, il supporto per il metodo , in base alle specifiche della negoziazione della connessione e ai parametri specificati, determinare quale software viene utilizzato per stabilire una connessione (ad esempio, consente di determinare l'uso di Tor e altre applicazioni tipiche). JA3 consente di definire client e JA3S - server. I risultati della determinazione possono essere utilizzati nel linguaggio di impostazione delle regole e nei registri;
- Aggiunta capacità sperimentale di abbinamento con un campione di set di dati di grandi dimensioni, implementata utilizzando nuove operazioni . Ad esempio, la funzionalità è applicabile alla ricerca di maschere in grandi liste nere con milioni di voci;
- La modalità di ispezione HTTP fornisce una copertura completa di tutte le situazioni descritte nella suite di test (ad esempio, copre i metodi utilizzati per nascondere attività dannose nel traffico);
- Gli strumenti di sviluppo dei moduli Rust sono stati spostati da opzioni a funzionalità standard richieste. In futuro, si prevede di espandere l'uso di Rust nel codice base del progetto e di sostituire gradualmente i moduli con analoghi sviluppati in Rust;
- Il motore di rilevamento dei protocolli è stato migliorato in termini di accuratezza e gestione dei flussi di traffico asincroni;
- È stato aggiunto il supporto al registro EVE per un nuovo tipo di record, "anomalia", che memorizza eventi atipici rilevati quando i pacchetti vengono decodificati. EVE ha inoltre ampliato la visualizzazione delle informazioni sulle VLAN e sulle interfacce di acquisizione del traffico. Aggiunta l'opzione per salvare tutte le intestazioni HTTP nelle voci http del registro EVE;
- I gestori basati su eBPF forniscono supporto per i meccanismi hardware per accelerare l'acquisizione dei pacchetti. L'accelerazione hardware è attualmente limitata agli adattatori di rete Netronome, ma presto verrà applicata anche ad altri dispositivi;
- Codice riscritto per acquisire il traffico utilizzando il framework Netmap. Aggiunta la possibilità di utilizzare funzionalità Netmap avanzate come uno switch virtuale ;
- supporto per un nuovo schema di definizione delle parole chiave per Sticky Buffer. Il nuovo schema è definito nel formato protocollo.buffer, ad esempio, per analizzare un URI, la parola chiave sarebbe "http.uri" invece di "http_uri";
- Tutto il codice Python utilizzato viene testato per verificarne la compatibilità con
Pitone 3; - Il supporto per l'architettura Tilera, il registro di testo dns.log e il vecchio registro files-json.log è stato interrotto.
Caratteristiche di Suricata:
- Utilizzo di un formato unificato per visualizzare i risultati della convalida , utilizzato anche dal progetto Snort, consentendo l'uso di strumenti di analisi standard come . Possibilità di integrazione con i prodotti BASE, Snorby, Sguil e SQueRT. Supporto per l'output in formato PCAP;
- Supporto per il rilevamento automatico dei protocolli (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ecc.), che consente di operare nelle regole solo in base al tipo di protocollo, senza riferimento al numero di porta (ad esempio , per bloccare il traffico HTTP su una porta non standard). Decoder per protocolli HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
- Un potente sistema di analisi del traffico HTTP che utilizza una speciale libreria HTP creata dall'autore del progetto Mod_Security per analizzare e normalizzare il traffico HTTP. È disponibile un modulo per mantenere un registro dettagliato dei trasferimenti HTTP in transito, il registro viene salvato in un formato standard
Apache. Sono supportate l'estrazione e la verifica dei file trasferiti tramite il protocollo HTTP. Supporto per l'analisi di contenuti compressi. Capacità di identificazione tramite URI, cookie, intestazioni, user-agent, corpo della richiesta/risposta; - Supporto per varie interfacce per intercettare il traffico, tra cui NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. È possibile analizzare file già salvati in formato PCAP;
- Prestazioni elevate, capacità di elaborare flussi fino a 10 gigabit / sec su apparecchiature convenzionali.
- Motore di corrispondenza delle maschere ad alte prestazioni con grandi set di indirizzi IP. Supporto per la selezione dei contenuti tramite maschera ed espressioni regolari. Separazione dei file dal traffico, inclusa la loro identificazione per nome, tipo o checksum MD5.
- Possibilità di utilizzare variabili nelle regole: puoi salvare le informazioni dallo stream e successivamente utilizzarle in altre regole;
- Utilizzo del formato YAML nei file di configurazione, che permette di mantenere con facilità la visibilità dell'elaborazione della macchina;
- Supporto IPv6 completo;
- Motore integrato per la deframmentazione automatica e il riassemblaggio dei pacchetti, che consente di garantire la corretta elaborazione dei flussi, indipendentemente dall'ordine in cui arrivano i pacchetti;
- Supporto per protocolli di tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Supporto per la decodifica dei pacchetti: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modalità di registrazione per chiavi e certificati visualizzati all'interno delle connessioni TLS/SSL;
- La capacità di scrivere script Lua per fornire analisi avanzate e implementare funzionalità aggiuntive necessarie per identificare i tipi di traffico per i quali le regole standard non sono sufficienti.
Fonte: opennet.ru