Organisasi OISF (Yayasan Keselamatan Maklumat Terbuka) pelepasan sistem pengesanan dan pencegahan pencerobohan rangkaian , yang menyediakan alat untuk memeriksa pelbagai jenis lalu lintas. Dalam konfigurasi Suricata adalah mungkin untuk digunakan , dibangunkan oleh projek Snort, serta set peraturan ΠΈ . Sumber projek dilesenkan di bawah GPLv2.
Perubahan utama:
- Modul baharu untuk penghuraian dan protokol pengelogan telah diperkenalkan
RDP, SNMP dan SIP ditulis dalam Rust. Keupayaan untuk log melalui subsistem EVE telah ditambahkan pada modul penghuraian FTP, memberikan output acara dalam format JSON; - Sebagai tambahan kepada sokongan untuk kaedah pengenalan pelanggan JA3 TLS yang muncul dalam keluaran terakhir, sokongan untuk kaedah , Berdasarkan ciri-ciri rundingan sambungan dan parameter yang ditentukan, tentukan perisian yang digunakan untuk mewujudkan sambungan (contohnya, ia membolehkan anda menentukan penggunaan Tor dan aplikasi standard lain). JA3 membolehkan anda mentakrifkan klien, dan JA3S membenarkan anda mentakrifkan pelayan. Keputusan penentuan boleh digunakan dalam bahasa penetapan peraturan dan dalam log;
- Menambah keupayaan percubaan untuk memadankan sampel daripada set data yang besar, dilaksanakan menggunakan operasi baharu . Sebagai contoh, ciri ini boleh digunakan untuk mencari topeng dalam senarai hitam besar yang mengandungi berjuta-juta entri;
- Mod pemeriksaan HTTP menyediakan liputan penuh untuk semua situasi yang diterangkan dalam suite ujian (cth, meliputi teknik yang digunakan untuk menyembunyikan aktiviti berniat jahat dalam trafik);
- Alat untuk membangunkan modul dalam bahasa Rust telah dipindahkan daripada pilihan kepada keupayaan standard mandatori. Pada masa hadapan, ia dirancang untuk mengembangkan penggunaan Rust dalam pangkalan kod projek dan secara beransur-ansur menggantikan modul dengan analog yang dibangunkan dalam Rust;
- Enjin definisi protokol telah dipertingkatkan untuk meningkatkan ketepatan dan mengendalikan aliran trafik tak segerak;
- Sokongan untuk jenis kemasukan "anomali" baharu telah ditambahkan pada log EVE, yang menyimpan peristiwa atipikal yang dikesan semasa menyahkod paket. EVE juga telah mengembangkan paparan maklumat tentang VLAN dan antara muka tangkapan trafik. Pilihan tambahan untuk menyimpan semua pengepala HTTP dalam entri log EVE http;
- Pengendali berasaskan eBPF menyediakan sokongan untuk mekanisme perkakasan untuk mempercepatkan penangkapan paket. Pecutan perkakasan pada masa ini terhad kepada penyesuai rangkaian Netronome, tetapi tidak lama lagi akan tersedia untuk peralatan lain;
- Kod untuk menangkap trafik menggunakan rangka kerja Netmap telah ditulis semula. Menambahkan keupayaan untuk menggunakan ciri Netmap lanjutan seperti suis maya ;
- sokongan untuk skim definisi kata kunci baharu untuk Sticky Buffers. Skim baharu ditakrifkan dalam format "protocol.buffer", contohnya, untuk memeriksa URI, kata kunci akan menggunakan bentuk "http.uri" dan bukannya "http_uri";
- Semua kod Python yang digunakan diuji untuk keserasian dengan
Python 3; - Sokongan untuk seni bina Tilera, log teks dns.log dan fail log lama-json.log telah dihentikan.
Ciri-ciri Suricata:
- Menggunakan format bersatu untuk memaparkan hasil imbasan , juga digunakan oleh projek Snort, yang membenarkan penggunaan alat analisis standard seperti . Kemungkinan integrasi dengan produk BASE, Snorby, Sguil dan SQueRT. Sokongan keluaran PCAP;
- Sokongan untuk pengesanan automatik protokol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, dll.), membolehkan anda beroperasi dalam peraturan hanya mengikut jenis protokol, tanpa merujuk kepada nombor port (contohnya, blok HTTP trafik di pelabuhan bukan standard) . Ketersediaan penyahkod untuk protokol HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP dan SSH;
- Sistem analisis trafik HTTP yang berkuasa yang menggunakan perpustakaan HTP khas yang dicipta oleh pengarang projek Mod_Security untuk menghuraikan dan menormalkan trafik HTTP. Modul tersedia untuk mengekalkan log terperinci pemindahan HTTP transit; log disimpan dalam format standard
Apache. Mendapatkan semula dan menyemak fail yang dihantar melalui HTTP disokong. Sokongan untuk menghuraikan kandungan termampat. Keupayaan untuk mengenal pasti melalui URI, Kuki, pengepala, ejen pengguna, badan permintaan/tindak balas; - Sokongan untuk pelbagai antara muka untuk pemintasan trafik, termasuk NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Ia adalah mungkin untuk menganalisis fail yang telah disimpan dalam format PCAP;
- Prestasi tinggi, keupayaan untuk memproses aliran sehingga 10 gigabit/saat pada peralatan konvensional.
- Mekanisme padanan topeng berprestasi tinggi untuk set alamat IP yang besar. Sokongan untuk memilih kandungan dengan topeng dan ungkapan biasa. Mengasingkan fail daripada trafik, termasuk pengenalannya mengikut nama, jenis atau MD5 checksum.
- Keupayaan untuk menggunakan pembolehubah dalam peraturan: anda boleh menyimpan maklumat daripada aliran dan kemudian menggunakannya dalam peraturan lain;
- Penggunaan format YAML dalam fail konfigurasi, yang membolehkan anda mengekalkan kejelasan semasa proses mesin mudah;
- Sokongan IPv6 penuh;
- Enjin terbina dalam untuk defragmentasi automatik dan pemasangan semula paket, membolehkan pemprosesan strim yang betul, tanpa mengira susunan paket tiba;
- Sokongan untuk protokol terowong: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Sokongan penyahkodan paket: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mod untuk kunci log dan sijil yang muncul dalam sambungan TLS/SSL;
- Keupayaan untuk menulis skrip dalam Lua untuk menyediakan analisis lanjutan dan melaksanakan keupayaan tambahan yang diperlukan untuk mengenal pasti jenis trafik yang peraturan standardnya tidak mencukupi.
Sumber: opennet.ru