Organisasjon OISF (Open Information Security Foundation) опубликовала utgivelse av system for oppdagelse og forebygging av nettverksinntrenging Surikat 5.0, som gir et middel til å inspisere ulike typer trafikk. I Suricata-konfigurasjoner er det tillatt å bruke signaturbaser, utviklet av Snort-prosjektet, samt regelsett Fremvoksende trusler и Emerging Threats Pro. Prosjektets kildekode spre lisensiert under GPLv2.
Hovedendringer:
Introduserte nye parsing- og loggingsmoduler for protokoller
RDP, SNMP og SIP skrevet i Rust. Muligheten til å logge via EVE-delsystemet, som gir utdata av hendelser i JSON-format, er lagt til FTP-parsingsmodulen;
I tillegg til støtte for JA3 TLS-klientautentiseringsmetoden introdusert i forrige utgivelse, støtte for metoden JA3S, tillater basert på spesifikasjonene for tilkoblingsforhandling og de spesifiserte parameterne, bestemme hvilken programvare som brukes til å etablere en tilkobling (det lar deg for eksempel bestemme bruken av Tor og andre typiske applikasjoner). JA3 gjør det mulig å definere klienter, og JA3S - servere. Resultatene av bestemmelsen kan brukes i regelinnstillingsspråket og i loggene;
Lagt til eksperimentell evne til å matche med et utvalg av store datasett, implementert ved hjelp av nye operasjoner datasett og datarep. For eksempel kan funksjonen brukes til å søke etter masker i store svartelister med millioner av oppføringer;
HTTP-inspeksjonsmodus gir full dekning av alle situasjoner beskrevet i testpakken HTTP-unnviker (dekker for eksempel metoder som brukes til å skjule ondsinnet aktivitet i trafikken);
Rustmodulutviklingsverktøy har blitt flyttet fra alternativer til nødvendige standardfunksjoner. I fremtiden er det planlagt å utvide bruken av Rust i prosjektets kodebase og gradvis erstatte moduler med analoger utviklet i Rust;
Protokolldeteksjonsmotoren har blitt forbedret når det gjelder nøyaktighet og håndtering av asynkrone trafikkstrømmer;
Støtte er lagt til EVE-loggen for en ny posttype, "anomali", som lagrer atypiske hendelser som oppdages når pakker dekodes. EVE utvidet også visningen av informasjon om VLAN og trafikkregistreringsgrensesnitt. Lagt til alternativ for å lagre alle HTTP-hoder i EVE-logg http-oppføringer;
eBPF-baserte behandlere gir støtte for maskinvaremekanismer for å akselerere pakkefangst. Maskinvareakselerasjon er foreløpig begrenset til Netronome-nettverksadaptere, men vil snart dukke opp for annet utstyr;
Omskrevet kode for å fange opp trafikk ved hjelp av Netmap-rammeverket. Lagt til muligheten til å bruke avanserte Netmap-funksjoner som en virtuell svitsj VALE;
La til støtte for en ny nøkkelorddefinisjonsordning for Sticky Buffers. Det nye oppsettet er definert i protocol.buffer-format, for eksempel, for å introspektere en URI, vil nøkkelordet være "http.uri" i stedet for "http_uri";
All Python-kode som brukes er testet for kompatibilitet med
Python3;
Støtte for Tilera-arkitekturen, dns.log-tekstloggen og den gamle files-json.log-loggen er avviklet.
Funksjoner av Suricata:
Bruke et enhetlig format for å vise valideringsresultater enhetlig 2, også brukt av Snort-prosjektet, som tillater bruk av standard analyseverktøy som f.eks låvetun 2. Evne til å integrere med BASE, Snorby, Sguil og SQueRT produkter. Støtte for utdata i PCAP-format;
Støtte for automatisk gjenkjenning av protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), som lar deg operere i reglene kun etter protokolltypen, uten referanse til portnummeret (for eksempel , for å blokkere HTTP-trafikk på en ikke-standard port) . Dekodere for HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH-protokoller;
Et kraftig HTTP-trafikkanalysesystem som bruker et spesielt HTP-bibliotek opprettet av forfatteren av Mod_Security-prosjektet for å analysere og normalisere HTTP-trafikk. En modul er tilgjengelig for å opprettholde en detaljert logg over transitt-HTTP-overføringer, loggen lagres i et standardformat
Apache. Utvinning og verifisering av filer overført via HTTP-protokoll støttes. Støtte for å analysere komprimert innhold. Evne til å identifisere ved URI, informasjonskapsel, overskrifter, brukeragent, forespørsel/svar-legeme;
Støtte for ulike grensesnitt for å avskjære trafikk, inkludert NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Det er mulig å analysere allerede lagrede filer i PCAP-format;
Høy ytelse, evnen til å behandle strømmer opp til 10 gigabit/sek på konvensjonelt utstyr.
Høyytelses maskematchende motor med store sett med IP-adresser. Støtte for innholdsvalg etter maske og regulære uttrykk. Separasjon av filer fra trafikk, inkludert deres identifikasjon ved navn, type eller MD5-sjekksum.
Evne til å bruke variabler i regler: du kan lagre informasjon fra strømmen og senere bruke den i andre regler;
Bruk av YAML-formatet i konfigurasjonsfiler, som lar deg opprettholde synlighet med enkel maskinbehandling;
Full IPv6-støtte;
Innebygd motor for automatisk defragmentering og remontering av pakker, som gjør det mulig å sikre korrekt behandling av strømmer, uavhengig av rekkefølgen pakkene ankommer i;
Støtte for tunnelprotokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Loggmodus for nøkler og sertifikater som vises i TLS/SSL-tilkoblinger;
Evnen til å skrive Lua-skript for å gi avansert analyse og implementere tilleggsfunksjoner som trengs for å identifisere trafikktyper som standardregler ikke er nok for.