Organisatie OISF (Stichting Open Informatiebeveiliging) vrijgave van een systeem voor detectie en preventie van netwerkinbraak , dat hulpmiddelen biedt voor het inspecteren van verschillende soorten verkeer. In Suricata-configuraties is het mogelijk om te gebruiken , ontwikkeld door het Snort-project, evenals sets regels и . Projectbronnen gelicentieerd onder GPLv2.
Grote veranderingen:
- Er zijn nieuwe modules geïntroduceerd voor het parseren en loggen van protocollen
RDP, SNMP en SIP geschreven in Rust. De mogelijkheid om via het EVE-subsysteem in te loggen is toegevoegd aan de FTP-parseermodule, waardoor gebeurtenisuitvoer in JSON-formaat wordt geboden; - Naast de ondersteuning voor de JA3 TLS-clientidentificatiemethode die in de laatste release verscheen, is er ondersteuning voor de methode , Bepaal op basis van de kenmerken van verbindingsonderhandelingen en gespecificeerde parameters welke software wordt gebruikt om een verbinding tot stand te brengen (u kunt hiermee bijvoorbeeld het gebruik van Tor en andere standaardtoepassingen bepalen). Met JA3 kunt u clients definiëren, en met JA3S kunt u servers definiëren. De resultaten van de bepaling kunnen worden gebruikt in de regelinstellingstaal en in logboeken;
- Experimentele mogelijkheid toegevoegd om monsters uit grote datasets te matchen, geïmplementeerd met behulp van nieuwe bewerkingen . De functie is bijvoorbeeld van toepassing op het zoeken naar maskers in grote zwarte lijsten met miljoenen vermeldingen;
- De HTTP-inspectiemodus biedt volledige dekking voor alle situaties die in de testsuite worden beschreven (omvat bijvoorbeeld technieken die worden gebruikt om kwaadaardige activiteiten in het verkeer te verbergen);
- Hulpmiddelen voor het ontwikkelen van modules in de Rust-taal zijn overgedragen van opties naar verplichte standaardmogelijkheden. In de toekomst is het de bedoeling om het gebruik van Rust in de projectcodebasis uit te breiden en modules geleidelijk te vervangen door analogen die in Rust zijn ontwikkeld;
- De protocoldefinitie-engine is verbeterd om de nauwkeurigheid te verbeteren en asynchrone verkeersstromen te verwerken;
- Ondersteuning voor een nieuw “anomalie”-invoertype is toegevoegd aan het EVE-logboek, waarin atypische gebeurtenissen worden opgeslagen die zijn gedetecteerd bij het decoderen van pakketten. EVE heeft ook de weergave van informatie over VLAN's en interfaces voor het vastleggen van verkeer uitgebreid. Optie toegevoegd om alle HTTP-headers op te slaan in EVE http-logboekvermeldingen;
- Op eBPF gebaseerde handlers bieden ondersteuning voor hardwaremechanismen voor het versnellen van het vastleggen van pakketten. Hardwareversnelling is momenteel beperkt tot Netronome-netwerkadapters, maar zal binnenkort beschikbaar zijn voor andere apparatuur;
- De code voor het vastleggen van verkeer met behulp van het Netmap-framework is herschreven. De mogelijkheid toegevoegd om geavanceerde Netmap-functies te gebruiken, zoals een virtuele switch ;
- ondersteuning voor een nieuw trefwoorddefinitieschema voor Sticky Buffers. Het nieuwe schema is gedefinieerd in het formaat “protocol.buffer”. Voor het inspecteren van een URI zal het trefwoord bijvoorbeeld de vorm “http.uri” aannemen in plaats van “http_uri”;
- Alle gebruikte Python-code is getest op compatibiliteit met
Python 3; - Ondersteuning voor de Tilera-architectuur, het tekstlogboek dns.log en de oude logbestanden-json.log is stopgezet.
Kenmerken van Suricata:
- Een uniform formaat gebruiken om scanresultaten weer te geven , ook gebruikt door het Snort-project, dat het gebruik van standaard analysehulpmiddelen mogelijk maakt, zoals . Mogelijkheid tot integratie met BASE-, Snorby-, Sguil- en SQueRT-producten. PCAP-uitvoerondersteuning;
- Ondersteuning voor automatische detectie van protocollen (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, enz.), waardoor u alleen in regels kunt werken op protocoltype, zonder verwijzing naar het poortnummer (bijvoorbeeld HTTP blokkeren verkeer op een niet-standaard poort). Beschikbaarheid van decoders voor HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- en SSH-protocollen;
- Een krachtig HTTP-verkeersanalysesysteem dat een speciale HTP-bibliotheek gebruikt, gemaakt door de auteur van het Mod_Security-project, om HTTP-verkeer te parseren en te normaliseren. Er is een module beschikbaar voor het bijhouden van een gedetailleerd logboek van transit-HTTP-overdrachten; het logboek wordt in een standaardformaat opgeslagen
Apache. Het ophalen en controleren van bestanden die via HTTP zijn verzonden, wordt ondersteund. Ondersteuning voor het parseren van gecomprimeerde inhoud. Mogelijkheid om te identificeren op basis van URI, Cookie, headers, user-agent, request/respons body; - Ondersteuning voor verschillende interfaces voor het onderscheppen van verkeer, waaronder NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Het is mogelijk om reeds opgeslagen bestanden in PCAP-formaat te analyseren;
- Hoge prestaties, mogelijkheid om stromen tot 10 gigabit/sec te verwerken op conventionele apparatuur.
- Hoogwaardig maskermatchingsmechanisme voor grote sets IP-adressen. Ondersteuning voor het selecteren van inhoud op basis van maskers en reguliere expressies. Bestanden isoleren van verkeer, inclusief hun identificatie op naam, type of MD5-checksum.
- Mogelijkheid om variabelen in regels te gebruiken: u kunt informatie uit een stream opslaan en deze later in andere regels gebruiken;
- Gebruik van het YAML-formaat in configuratiebestanden, waardoor u de duidelijkheid behoudt en toch eenvoudig machinaal kunt verwerken;
- Volledige IPv6-ondersteuning;
- Ingebouwde engine voor automatische defragmentatie en opnieuw samenstellen van pakketten, waardoor correcte verwerking van stromen mogelijk is, ongeacht de volgorde waarin pakketten aankomen;
- Ondersteuning voor tunnelingprotocollen: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Ondersteuning voor pakketdecodering: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modus voor het loggen van sleutels en certificaten die verschijnen binnen TLS/SSL-verbindingen;
- De mogelijkheid om scripts in Lua te schrijven om geavanceerde analyses te bieden en aanvullende mogelijkheden te implementeren die nodig zijn om soorten verkeer te identificeren waarvoor standaardregels niet voldoende zijn.
Bron: opennet.ru