Organização OISF (Fundação Aberta de Segurança da Informação) lançamento do sistema de detecção e prevenção de invasões de rede , que fornece ferramentas para inspecionar diversos tipos de tráfego. Nas configurações Suricata é possível usar , desenvolvido pelo projeto Snort, bem como conjuntos de regras и . Fontes do projeto licenciado sob GPLv2.
Grandes mudanças:
- Novos módulos para análise e registro de protocolos foram introduzidos
RDP, SNMP e SIP escritos em Rust. A capacidade de registrar por meio do subsistema EVE foi adicionada ao módulo de análise de FTP, fornecendo saída de eventos no formato JSON; - Além do suporte para o método de identificação do cliente JA3 TLS que apareceu na última versão, o suporte para o método , Com base nas características de negociação da conexão e nos parâmetros especificados, determine qual software é usado para estabelecer uma conexão (por exemplo, permite determinar o uso do Tor e outros aplicativos padrão). O JA3 permite definir clientes e o JA3S permite definir servidores. Os resultados da determinação podem ser usados na linguagem de configuração de regras e em logs;
- Adicionada capacidade experimental para combinar amostras de grandes conjuntos de dados, implementada usando novas operações . Por exemplo, o recurso é aplicável à busca de máscaras em grandes listas negras contendo milhões de entradas;
- O modo de inspeção HTTP fornece cobertura completa de todas as situações descritas no conjunto de testes (por exemplo, abrange técnicas utilizadas para ocultar atividades maliciosas no tráfego);
- As ferramentas para desenvolver módulos na linguagem Rust foram transferidas de opções para recursos padrão obrigatórios. No futuro, está prevista a expansão do uso do Rust na base de código do projeto e a substituição gradativa dos módulos por análogos desenvolvidos em Rust;
- O mecanismo de definição de protocolo foi aprimorado para melhorar a precisão e lidar com fluxos de tráfego assíncronos;
- Foi adicionado suporte para um novo tipo de entrada de “anomalia” ao log EVE, que armazena eventos atípicos detectados durante a decodificação de pacotes. EVE também expandiu a exibição de informações sobre VLANs e interfaces de captura de tráfego. Adicionada opção para salvar todos os cabeçalhos HTTP nas entradas de log HTTP do EVE;
- Os manipuladores baseados em eBPF fornecem suporte a mecanismos de hardware para acelerar a captura de pacotes. A aceleração de hardware está atualmente limitada aos adaptadores de rede Netronome, mas em breve estará disponível para outros equipamentos;
- O código para capturar tráfego usando a estrutura Netmap foi reescrito. Adicionada a capacidade de usar recursos avançados do Netmap, como um switch virtual ;
- suporte para um novo esquema de definição de palavras-chave para Sticky Buffers. O novo esquema é definido no formato “protocol.buffer”, por exemplo, para inspecionar um URI, a palavra-chave assumirá o formato “http.uri” em vez de “http_uri”;
- Todo o código Python usado é testado quanto à compatibilidade com
Python3; - O suporte para a arquitetura Tilera, o log de texto dns.log e o antigo log files-json.log foram descontinuados.
Características da Suricata:
- Usando um formato unificado para exibir resultados de verificação , também utilizado pelo projeto Snort, que permite a utilização de ferramentas de análise padrão como . Possibilidade de integração com produtos BASE, Snorby, Sguil e SQueRT. Suporte de saída PCAP;
- Suporte para detecção automática de protocolos (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etc.), permitindo operar em regras apenas por tipo de protocolo, sem referência ao número da porta (por exemplo, bloquear HTTP tráfego em uma porta não padrão). Disponibilidade de decodificadores para protocolos HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP e SSH;
- Um poderoso sistema de análise de tráfego HTTP que usa uma biblioteca HTP especial criada pelo autor do projeto Mod_Security para analisar e normalizar o tráfego HTTP. Um módulo está disponível para manter um registro detalhado de transferências HTTP de trânsito; o registro é salvo em um formato padrão
Apache. A recuperação e verificação de arquivos transmitidos via HTTP são suportadas. Suporte para análise de conteúdo compactado. Capacidade de identificar por URI, Cookie, cabeçalhos, agente de usuário, corpo de solicitação/resposta; - Suporte para diversas interfaces para interceptação de tráfego, incluindo NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. É possível analisar arquivos já salvos no formato PCAP;
- Alto desempenho, capacidade de processar fluxos de até 10 gigabits/seg em equipamentos convencionais.
- Mecanismo de correspondência de máscara de alto desempenho para grandes conjuntos de endereços IP. Suporte para seleção de conteúdo por máscara e expressões regulares. Isolar arquivos do tráfego, incluindo sua identificação por nome, tipo ou soma de verificação MD5.
- Capacidade de usar variáveis em regras: você pode salvar informações de um fluxo e posteriormente utilizá-las em outras regras;
- Utilização do formato YAML nos arquivos de configuração, que permite manter a clareza e ao mesmo tempo facilitar o processo de usinagem;
- Suporte completo a IPv6;
- Motor integrado para desfragmentação e remontagem automática de pacotes, permitindo o correto processamento dos fluxos, independente da ordem de chegada dos pacotes;
- Suporte para protocolos de tunelamento: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Suporte para decodificação de pacotes: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modo para registrar chaves e certificados que aparecem em conexões TLS/SSL;
- A capacidade de escrever scripts em Lua para fornecer análises avançadas e implementar recursos adicionais necessários para identificar tipos de tráfego para os quais as regras padrão não são suficientes.
Fonte: opennet.ru