Organisatioun OISF (Open Information Security Foundation) Verëffentlechung vum Netzintrusiounserkennung a Präventiounssystem , déi Tools ubitt fir verschidden Zorte vu Verkéier ze kontrolléieren. A Suricata Konfiguratiounen ass et méiglech ze benotzen , entwéckelt vum Snort-Projet, wéi och Regelen и . Projet Quellen lizenzéiert ënner GPLv2.
Main Ännerungen:
- Nei Moduler fir Parsing- a Logprotokoller goufen agefouert
RDP, SNMP a SIP geschriwwen an Rust. D'Kapazitéit fir iwwer den EVE-Subsystem ze protokolléieren ass am FTP-Parsing-Modul bäigefüügt ginn, wat Eventausgang am JSON-Format ubitt; - Zousätzlech zu der Ënnerstëtzung fir d'JA3 TLS Client Identifikatiounsmethod déi an der leschter Verëffentlechung erschéngt, Ënnerstëtzung fir d'Methode , Baséiert op d'Charakteristiken vun Verbindung Verhandlunge a spezifizéierte Parameteren, bestëmmen wat Software benotzt gëtt eng Verbindung ze etabléieren (zum Beispill, et erlaabt Iech de Gebrauch vun Tor an aner Norm Uwendungen ze bestëmmen). JA3 erlaabt Iech Clienten ze definéieren, an JA3S erlaabt Iech Serveren ze definéieren. D'Resultater vun der Determinatioun kënnen an der Regel-Astellungssprooch an a Logbicher benotzt ginn;
- Experimentell Fäegkeet bäigefüügt fir Proben aus groussen Datesets ze passen, implementéiert mat neien Operatiounen . Zum Beispill ass d'Feature applicabel fir Masken a grousse Schwaarzlëschten ze sichen déi Millioune Entréen enthalen;
- HTTP Inspektioun Modus bitt voll Ofdeckung vun all Situatiounen an der Test Suite beschriwwen (zB deckt Techniken déi benotzt gi fir béiswëlleg Aktivitéit am Traffic ze verstoppen);
- Tools fir Moduler an der Rust Sprooch z'entwéckelen goufen vun Optiounen op obligatoresch Standardfäegkeeten transferéiert. An Zukunft ass et geplangt fir d'Benotzung vu Rust an der Projektcodebasis auszebauen a graduell Moduler mat Analoga ersetzen an Rust entwéckelt;
- De Protokoll Definitiounsmotor gouf verbessert fir d'Genauegkeet ze verbesseren an asynchrone Verkéiersfloss ze handhaben;
- Ënnerstëtzung fir en neien "Anomalie" Entréestyp gouf zum EVE Log bäigefüügt, deen atypesch Eventer späichert, déi beim Decodéiere vu Pakete festgestallt ginn. EVE huet och den Affichage vun Informatioun iwwer VLANs a Traffic Capture Interfaces erweidert. Zousätzlech Optioun fir all HTTP Header an EVE http Log Entréen ze späicheren;
- eBPF-baséiert Handler bidden Ënnerstëtzung fir Hardware Mechanismen fir d'Beschleunigung vun der Paketfangerung. Hardware Beschleunegung ass am Moment limitéiert op Netronome Netzwierkadapter, awer wäert geschwënn fir aner Ausrüstung verfügbar sinn;
- De Code fir de Traffic mat dem Netmap Kader ze erfaassen ass nei geschriwwe ginn. Füügt d'Fäegkeet fir fortgeschratt Netmap Features wéi e virtuelle Schalter ze benotzen ;
- Ënnerstëtzung fir eng nei Schlësselwuert Definitioun Schema fir Sticky Bufferen. Den neie Schema gëtt am Format "protocol.buffer" definéiert, zum Beispill, fir eng URI ze kontrolléieren, wäert d'Schlësselwuert d'Form "http.uri" huelen anstatt "http_uri";
- All Python Code benotzt gëtt fir Kompatibilitéit getest mat
Python 3; - Ënnerstëtzung fir d'Tilera Architektur, den Textprotokoll dns.log an déi al Logdateien-json.log gouf ofgeschaaft.
Features vu Suricata:
- Benotzt e vereenegt Format fir Scanresultater ze weisen , och vum Snort-Projet benotzt, wat d'Benotzung vu Standardanalyse-Tools wéi z . Méiglechkeet vun Integratioun mat BASE, Snorby, Sguil an SQueRT Produiten. PCAP Output Ënnerstëtzung;
- Ënnerstëtzung fir automatesch Detektioun vu Protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, asw.), wat Iech erlaabt Iech a Regelen nëmmen no Protokolltyp ze bedreiwen, ouni Referenz op d'Portnummer (zum Beispill HTTP blockéieren Traffic op engem net-Standard Hafen). Disponibilitéit vun Decoder fir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP an SSH Protokoller;
- E mächtege HTTP-Verkéiersanalysesystem deen eng speziell HTP-Bibliothéik benotzt, déi vum Auteur vum Mod_Security-Projet erstallt gëtt fir den HTTP-Traffic ze analyséieren an ze normaliséieren. E Modul ass verfügbar fir en detailléierte Log vun Transit HTTP Transferen z'erhalen; de Log gëtt an engem Standardformat gespäichert
Apache. Recuperéieren an iwwerpréiwen Dateien iwwer HTTP iwwerdroe gëtt ënnerstëtzt. Ënnerstëtzung fir kompriméiert Inhalt ze analyséieren. Fähigkeit ze identifizéieren duerch URI, Cookie, Header, User-Agent, Ufro / Äntwert Kierper; - Ënnerstëtzung fir verschidden Interfaces fir Traffic Offangen, dorënner NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Et ass méiglech scho gespäichert Dateien am PCAP Format ze analyséieren;
- Héich Leeschtung, Fäegkeet fir Flux bis zu 10 Gigabits / sec op konventionell Ausrüstung ze veraarbecht.
- High-Performance Mask passende Mechanismus fir grouss Sätze vun IP Adressen. Ënnerstëtzung fir Inhalt duerch Mask a reegelméissegen Ausdrock ze wielen. Isoléieren Dateien vum Traffic, dorënner hir Identifikatioun mam Numm, Typ oder MD5 Checksum.
- Fähegkeet Variabelen an Regelen ze benotzen: Dir kënnt Informatiounen aus engem Baach späicheren a spéider se an anere Regelen benotzen;
- D'Benotzung vum YAML-Format a Konfiguratiounsdateien, wat Iech erlaabt Kloerheet z'erhalen, während se einfach ze machen;
- Voll IPv6 Ënnerstëtzung;
- Built-in Motor fir automatesch Defragmentatioun an Erhuelung vu Päckchen, wat d'korrekt Veraarbechtung vu Streamen erlaabt, onofhängeg vun der Uerdnung an där Päck ukommen;
- Ënnerstëtzung fir Tunnelprotokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Paketdekodéierungssupport: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modus fir Schlësselen an Zertifikater ze protokolléieren, déi an TLS / SSL Verbindungen erscheinen;
- D'Kapazitéit fir Scripten am Lua ze schreiwen fir fortgeschratt Analyse ze bidden an zousätzlech Fäegkeeten ëmzesetzen déi néideg sinn fir Trafficarten z'identifizéieren fir déi Standardregelen net genuch sinn.
Source: opennet.ru