Organizația OISF (Open Information Security Foundation) lansarea sistemului de detectare și prevenire a intruziunilor în rețea , care oferă instrumente pentru inspectarea diferitelor tipuri de trafic. În configurațiile Suricata este posibil să se utilizeze , dezvoltat de proiectul Snort, precum și seturi de reguli и . Sursele proiectului licențiat conform GPLv2.
Principalele modificări:
- Au fost introduse noi module pentru analizarea și înregistrarea protocoalelor
RDP, SNMP și SIP scrise în Rust. Capacitatea de a vă conecta prin subsistemul EVE a fost adăugată la modulul de analiză FTP, oferind ieșire pentru evenimente în format JSON; - Pe lângă suportul pentru metoda de identificare a clientului JA3 TLS care a apărut în ultima versiune, suport pentru metoda , Pe baza caracteristicilor negocierii conexiunii și a parametrilor specificați, determinați ce software este utilizat pentru a stabili o conexiune (de exemplu, vă permite să determinați utilizarea Tor și a altor aplicații standard). JA3 vă permite să definiți clienți, iar JA3S vă permite să definiți servere. Rezultatele determinării pot fi folosite în limba de stabilire a regulilor și în jurnalele;
- Capacitate experimentală adăugată de a potrivi mostre din seturi mari de date, implementată folosind operațiuni noi . De exemplu, caracteristica este aplicabilă căutării de măști în liste negre mari care conțin milioane de intrări;
- Modul de inspecție HTTP oferă o acoperire completă a tuturor situațiilor descrise în suita de teste (de exemplu, acoperă tehnici utilizate pentru a ascunde activitățile rău intenționate în trafic);
- Instrumentele pentru dezvoltarea modulelor în limbajul Rust au fost transferate de la opțiuni la capabilități standard obligatorii. În viitor, este planificată extinderea utilizării Rust în baza de cod al proiectului și înlocuirea treptată a modulelor cu analogi dezvoltați în Rust;
- Motorul de definire a protocolului a fost îmbunătățit pentru a îmbunătăți acuratețea și a gestiona fluxurile de trafic asincrone;
- Suport pentru un nou tip de intrare „anomalie” a fost adăugat la jurnalul EVE, care stochează evenimentele atipice detectate la decodificarea pachetelor. EVE a extins, de asemenea, afișarea informațiilor despre VLAN-uri și interfețele de captare a traficului. Opțiune adăugată pentru a salva toate anteturile HTTP în intrările de jurnal EVE http;
- Handlerele bazate pe eBPF oferă suport pentru mecanismele hardware pentru accelerarea captării pachetelor. Accelerația hardware este în prezent limitată la adaptoarele de rețea Netronome, dar va fi disponibilă în curând pentru alte echipamente;
- Codul pentru captarea traficului folosind cadrul Netmap a fost rescris. S-a adăugat posibilitatea de a utiliza funcții avansate Netmap, cum ar fi un comutator virtual ;
- suport pentru o nouă schemă de definire a cuvintelor cheie pentru Sticky Buffers. Noua schemă este definită în formatul „protocol.buffer”, de exemplu, pentru inspectarea unui URI, cuvântul cheie va lua forma „http.uri” în loc de „http_uri”;
- Tot codul Python folosit este testat pentru compatibilitate cu
Python3; - Suportul pentru arhitectura Tilera, jurnalul de text dns.log și vechiul fișier de jurnal-json.log a fost întrerupt.
Caracteristicile Suricatei:
- Utilizarea unui format unificat pentru a afișa rezultatele scanării , folosit și de proiectul Snort, care permite utilizarea instrumentelor standard de analiză precum . Posibilitatea de integrare cu produsele BASE, Snorby, Sguil și SQueRT. Suport de ieșire PCAP;
- Suport pentru detectarea automată a protocoalelor (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB etc.), permițându-vă să operați în reguli numai după tipul de protocol, fără referire la numărul portului (de exemplu, blocați HTTP) trafic pe un port non-standard) . Disponibilitatea decodoarelor pentru protocoale HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP și SSH;
- Un sistem puternic de analiză a traficului HTTP care utilizează o bibliotecă HTP specială creată de autorul proiectului Mod_Security pentru a analiza și a normaliza traficul HTTP. Este disponibil un modul pentru menținerea unui jurnal detaliat al transferurilor HTTP de tranzit; jurnalul este salvat într-un format standard
Apache. Este acceptată preluarea și verificarea fișierelor transmise prin HTTP. Suport pentru analizarea conținutului comprimat. Abilitatea de a identifica prin URI, Cookie, antete, user-agent, corp de cerere/răspuns; - Suport pentru diverse interfețe pentru interceptarea traficului, inclusiv NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Este posibil să se analizeze fișierele deja salvate în format PCAP;
- Performanță ridicată, capacitatea de a procesa fluxuri de până la 10 gigabiți/sec pe echipamente convenționale.
- Mecanism de potrivire a măștilor de înaltă performanță pentru seturi mari de adrese IP. Suport pentru selectarea conținutului după mască și expresii regulate. Izolarea fișierelor din trafic, inclusiv identificarea lor după nume, tip sau suma de control MD5.
- Abilitatea de a utiliza variabile în reguli: puteți salva informații dintr-un flux și ulterior le puteți utiliza în alte reguli;
- Utilizarea formatului YAML în fișierele de configurare, ceea ce vă permite să păstrați claritatea, fiind în același timp ușor de prelucrat;
- Suport IPv6 complet;
- Motor încorporat pentru defragmentarea și reasamblarea automată a pachetelor, permițând procesarea corectă a fluxurilor, indiferent de ordinea în care sosesc pachetele;
- Suport pentru protocoale de tunel: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Suport pentru decodarea pachetelor: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mod pentru înregistrarea cheilor și certificatelor care apar în conexiunile TLS/SSL;
- Abilitatea de a scrie scripturi în Lua pentru a oferi analize avansate și pentru a implementa capabilități suplimentare necesare pentru a identifica tipurile de trafic pentru care regulile standard nu sunt suficiente.
Sursa: opennet.ru