Organizācija OISF (Open Information Security Foundation) tīkla ielaušanās atklāšanas un novēršanas sistēmas atbrīvošana , kas nodrošina rīkus dažādu satiksmes veidu pārbaudei. Suricata konfigurācijās ir iespējams izmantot , ko izstrādājis projekts Snort, kā arī noteikumu kopas и . Projekta avoti licencēts saskaņā ar GPLv2.
Galvenās izmaiņas:
- Ir ieviesti jauni moduļi parsēšanas un reģistrēšanas protokoliem
RDP, SNMP un SIP rakstīts Rust. FTP parsēšanas modulim ir pievienota iespēja reģistrēties caur EVE apakšsistēmu, nodrošinot notikumu izvadi JSON formātā; - Papildus JA3 TLS klienta identifikācijas metodes atbalstam, kas parādījās pēdējā laidienā, šīs metodes atbalsts , Pamatojoties uz savienojuma sarunu raksturlielumiem un norādītajiem parametriem, nosakiet, kāda programmatūra tiek izmantota savienojuma izveidošanai (piemēram, tā ļauj noteikt Tor un citu standarta lietojumprogrammu izmantošanu). JA3 ļauj definēt klientus, un JA3S ļauj definēt serverus. Noteikšanas rezultātus var izmantot noteikumu iestatīšanas valodā un žurnālos;
- Pievienota eksperimentāla iespēja saskaņot paraugus no lielām datu kopām, kas ieviesta, izmantojot jaunas darbības . Piemēram, šī funkcija ir piemērota masku meklēšanai lielos melnajos sarakstos, kuros ir miljoniem ierakstu;
- HTTP pārbaudes režīms nodrošina pilnīgu visu testu komplektā aprakstīto situāciju pārklājumu (piem., attiecas uz paņēmieniem, kas tiek izmantoti, lai slēptu ļaunprātīgu darbību satiksmē);
- Rīki moduļu izstrādei Rust valodā ir pārnesti no opcijām uz obligātajām standarta iespējām. Nākotnē plānots paplašināt Rust izmantošanu projekta kodu bāzē un pakāpeniski aizstāt moduļus ar Rust izstrādātajiem analogiem;
- Protokola definīcijas dzinējs ir uzlabots, lai uzlabotu precizitāti un apstrādātu asinhronās satiksmes plūsmas;
- EVE žurnālam ir pievienots atbalsts jaunam “anomalijas” ieraksta tipam, kurā tiek glabāti netipiski notikumi, kas konstatēti pakešu dekodēšanas laikā. EVE ir paplašinājusi arī informācijas par VLAN un trafika uztveršanas saskarnēm displeju. Pievienota iespēja saglabāt visas HTTP galvenes EVE http žurnāla ierakstos;
- Uz eBPF balstīti apstrādātāji nodrošina atbalstu aparatūras mehānismiem pakešu uztveršanas paātrināšanai. Aparatūras paātrinājums pašlaik ir ierobežots ar Netronome tīkla adapteriem, taču drīzumā tas būs pieejams arī citam aprīkojumam;
- Kods trafika uztveršanai, izmantojot Netmap ietvaru, ir pārrakstīts. Pievienota iespēja izmantot uzlabotas Netmap funkcijas, piemēram, virtuālo slēdzi ;
- atbalsts jaunai atslēgvārdu definīcijas shēmai lipīgajiem buferiem. Jaunā shēma ir definēta formātā “protocol.buffer”, piemēram, lai pārbaudītu URI, atslēgvārdam būs forma “http.uri”, nevis “http_uri”;
- Visa izmantotā Python koda saderība ir pārbaudīta ar
Python 3; - Tilera arhitektūras, teksta žurnāla dns.log un vecā žurnālfailu-json.log atbalsts ir pārtraukts.
Suricata īpašības:
- Izmantojot vienotu formātu, lai parādītu skenēšanas rezultātus , ko izmanto arī Snort projekts, kas ļauj izmantot standarta analīzes rīkus, piemēram, . Iespēja integrēt ar BASE, Snorby, Sguil un SQueRT produktiem. PCAP izvades atbalsts;
- Atbalsts automātiskai protokolu noteikšanai (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB utt.), kas ļauj darboties noteikumos tikai pēc protokola veida, bez atsauces uz porta numuru (piemēram, bloķēt HTTP satiksme nestandarta portā). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP un SSH protokolu dekoderu pieejamība;
- Jaudīga HTTP trafika analīzes sistēma, kas izmanto īpašu HTP bibliotēku, ko izveidojis Mod_Security projekta autors, lai analizētu un normalizētu HTTP trafiku. Ir pieejams modulis detalizēta tranzīta HTTP pārsūtīšanas žurnāla uzturēšanai; žurnāls tiek saglabāts standarta formātā
Apache. Tiek atbalstīta failu izgūšana un pārbaude, kas pārsūtīti, izmantojot HTTP. Atbalsts saspiesta satura parsēšanai. Spēja identificēt pēc URI, sīkfaila, galvenēm, lietotāja aģenta, pieprasījuma/atbildes pamatteksta; - Atbalsts dažādām saskarnēm satiksmes pārtveršanai, tostarp NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Ir iespējams analizēt jau saglabātos failus PCAP formātā;
- Augsta veiktspēja, spēja apstrādāt plūsmas līdz 10 gigabitiem/s, izmantojot parasto aprīkojumu.
- Augstas veiktspējas masku saskaņošanas mehānisms lielām IP adrešu kopām. Atbalsts satura atlasei pēc maskas un regulārām izteiksmēm. Failu izolēšana no trafika, tostarp to identificēšana pēc nosaukuma, veida vai MD5 kontrolsummas.
- Iespēja izmantot mainīgos noteikumos: var saglabāt informāciju no straumes un vēlāk izmantot citos noteikumos;
- YAML formāta izmantošana konfigurācijas failos, kas ļauj saglabāt skaidrību, vienlaikus viegli apstrādājot;
- Pilns IPv6 atbalsts;
- Iebūvēts dzinējs automātiskai pakešu defragmentēšanai un atkārtotai salikšanai, ļaujot pareizi apstrādāt straumes neatkarīgi no pakešu ienākšanas secības;
- Atbalsts tunelēšanas protokoliem: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Pakešu dekodēšanas atbalsts: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Režīms atslēgu un sertifikātu reģistrēšanai, kas parādās TLS/SSL savienojumos;
- Iespēja rakstīt skriptus programmā Lua, lai nodrošinātu uzlabotu analīzi un ieviestu papildu iespējas, kas nepieciešamas, lai identificētu datplūsmas veidus, kuriem standarta noteikumi nav pietiekami.
Avots: opennet.ru