Organizacja OISF (Fundacja Bezpieczeństwa Informacji Otwartej) udostępnienie systemu wykrywania i zapobiegania włamaniom sieciowym , który udostępnia narzędzia do kontroli różnych rodzajów ruchu. W konfiguracjach Suricata istnieje możliwość zastosowania , opracowany w ramach projektu Snort, a także zestawy reguł и . Źródła projektu licencjonowany na licencji GPLv2.
Główne zmiany:
- Wprowadzono nowe moduły do analizowania i rejestrowania protokołów
RDP, SNMP i SIP napisane w języku Rust. Moduł analizujący FTP ma teraz możliwość logowania poprzez podsystem EVE, który dostarcza dane wyjściowe zdarzeń w formacie JSON; - Oprócz obsługi metody identyfikacji klienta JA3 TLS, która pojawiła się w ostatniej wersji, obsługa tej metody , Na podstawie charakterystyki negocjacji połączenia i określonych parametrów określ, jakie oprogramowanie służy do nawiązania połączenia (na przykład pozwala określić użycie Tora i innych standardowych aplikacji). JA3 umożliwia definiowanie klientów, a JA3S umożliwia definiowanie serwerów. Wyniki oznaczeń można wykorzystać w języku ustalania reguł oraz w logach;
- Dodano eksperymentalną możliwość dopasowywania próbek z dużych zbiorów danych, zaimplementowaną przy użyciu nowych operacji . Na przykład ta funkcja ma zastosowanie do wyszukiwania masek na dużych czarnych listach zawierających miliony wpisów;
- Tryb inspekcji HTTP zapewnia pełne pokrycie wszystkich sytuacji opisanych w zestawie testów (np. obejmuje techniki stosowane do ukrywania szkodliwej aktywności w ruchu);
- Narzędzia do tworzenia modułów w języku Rust zostały przeniesione z opcji do obowiązkowych możliwości standardowych. W przyszłości planowane jest rozszerzenie wykorzystania Rusta w bazie kodu projektu i stopniowa wymiana modułów na analogi opracowane w Rust;
- Silnik definicji protokołu został ulepszony w celu poprawy dokładności i obsługi asynchronicznych przepływów ruchu;
- Do dziennika EVE dodano obsługę nowego typu wpisu „anomalia”, który przechowuje nietypowe zdarzenia wykryte podczas dekodowania pakietów. EVE rozszerzyło także wyświetlanie informacji o sieciach VLAN i interfejsach przechwytywania ruchu. Dodano opcję zapisywania wszystkich nagłówków HTTP we wpisach dziennika http EVE;
- Procedury obsługi oparte na eBPF zapewniają obsługę mechanizmów sprzętowych przyspieszających przechwytywanie pakietów. Akceleracja sprzętowa jest obecnie ograniczona do kart sieciowych Netronome, ale wkrótce będzie dostępna dla innego sprzętu;
- Kod do przechwytywania ruchu przy użyciu frameworka Netmap został przepisany. Dodano możliwość korzystania z zaawansowanych funkcji Netmap, takich jak przełącznik wirtualny ;
- obsługa nowego schematu definicji słów kluczowych dla buforów trwałych. Nowy schemat jest zdefiniowany w formacie „protocol.buffer”, na przykład w celu sprawdzenia identyfikatora URI słowo kluczowe przyjmie postać „http.uri” zamiast „http_uri”;
- Cały używany kod Pythona jest testowany pod kątem zgodności z
Pythona 3; - Zaprzestano obsługi architektury Tilera, dziennika tekstowego dns.log i starych plików dziennika-json.log.
Cechy Suricaty:
- Używanie ujednoliconego formatu do wyświetlania wyników skanowania , wykorzystywany również przez projekt Snort, który pozwala na wykorzystanie standardowych narzędzi analitycznych takich jak . Możliwość integracji z produktami BASE, Snorby, Sguil i SQueRT. obsługa wyjścia PCAP;
- Obsługa automatycznego wykrywania protokołów (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB itp.), pozwalająca na działanie w regułach wyłącznie według typu protokołu, bez odniesienia do numeru portu (np. blokowanie HTTP ruch na niestandardowym porcie). Dostępność dekoderów dla protokołów HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH;
- Potężny system analizy ruchu HTTP wykorzystujący specjalną bibliotekę HTP stworzoną przez autora projektu Mod_Security do analizowania i normalizacji ruchu HTTP. Dostępny jest moduł umożliwiający prowadzenie szczegółowego dziennika tranzytowych transferów HTTP, dziennik zapisywany jest w standardowym formacie
Apacz. Obsługiwane jest pobieranie i sprawdzanie plików przesyłanych za pośrednictwem protokołu HTTP. Obsługa analizowania skompresowanej zawartości. Możliwość identyfikacji poprzez URI, plik cookie, nagłówki, klienta użytkownika, treść żądania/odpowiedzi; - Obsługa różnych interfejsów do przechwytywania ruchu, w tym NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Istnieje możliwość analizy już zapisanych plików w formacie PCAP;
- Wysoka wydajność, możliwość przetwarzania przepływów do 10 gigabitów/s na konwencjonalnym sprzęcie.
- Wysokowydajny mechanizm dopasowywania masek dla dużych zestawów adresów IP. Obsługa wybierania treści według maski i wyrażeń regularnych. Izolowanie plików od ruchu, w tym ich identyfikacja po nazwie, typie lub sumie kontrolnej MD5.
- Możliwość wykorzystania zmiennych w regułach: możesz zapisać informacje ze strumienia i później wykorzystać je w innych regułach;
- Zastosowanie formatu YAML w plikach konfiguracyjnych, co pozwala zachować przejrzystość przy jednoczesnej łatwości obróbki maszynowej;
- Pełna obsługa protokołu IPv6;
- Wbudowany silnik automatycznej defragmentacji i ponownego składania pakietów, pozwalający na prawidłowe przetwarzanie strumieni, niezależnie od kolejności nadejścia pakietów;
- Obsługa protokołów tunelowania: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Obsługa dekodowania pakietów: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Tryb logowania kluczy i certyfikatów pojawiających się w ramach połączeń TLS/SSL;
- Możliwość pisania skryptów w Lua zapewniających zaawansowaną analizę i implementację dodatkowych możliwości potrzebnych do identyfikacji typów ruchu, dla których standardowe reguły nie są wystarczające.
Źródło: opennet.ru