Organizácia OISF (Open Information Security Foundation) uvoľnenie systému detekcie a prevencie narušenia siete , ktorá poskytuje nástroje na kontrolu rôznych druhov dopravy. V konfiguráciách Suricata je možné použiť , ktorý vyvinul projekt Snort, ako aj súbory pravidiel и . Zdroje projektu pod licenciou GPLv2.
Hlavné zmeny:
- Boli zavedené nové moduly na analýzu a protokolovanie protokolov
RDP, SNMP a SIP napísané v jazyku Rust. Do modulu analýzy FTP bola pridaná možnosť logovania cez subsystém EVE, ktorý poskytuje výstup udalostí vo formáte JSON; - Okrem podpory metódy identifikácie klienta JA3 TLS, ktorá sa objavila v poslednom vydaní, podpora tejto metódy , Na základe charakteristík vyjednávania o pripojení a špecifikovaných parametrov určite, aký softvér sa používa na vytvorenie spojenia (umožňuje napríklad určiť použitie Tor a iných štandardných aplikácií). JA3 vám umožňuje definovať klientov a JA3S vám umožňuje definovať servery. Výsledky stanovenia možno použiť v jazyku nastavenia pravidiel a v protokoloch;
- Pridaná experimentálna schopnosť porovnávať vzorky z veľkých súborov údajov, implementovaná pomocou nových operácií . Táto funkcia je napríklad použiteľná na vyhľadávanie masiek vo veľkých zoznamoch zakázaných položiek obsahujúcich milióny záznamov;
- Režim kontroly HTTP poskytuje úplné pokrytie všetkých situácií popísaných v testovacej sade (napr. zahŕňa techniky používané na skrytie škodlivých aktivít v premávke);
- Nástroje na vývoj modulov v jazyku Rust boli presunuté z možností na povinné štandardné schopnosti. V budúcnosti sa plánuje rozšírenie používania Rustu v základni kódu projektu a postupná výmena modulov za analógy vyvinuté v Ruste;
- Modul definície protokolu bol vylepšený, aby sa zlepšila presnosť a zvládali asynchrónne toky prevádzky;
- Do protokolu EVE bola pridaná podpora pre nový typ záznamu „anomálie“, ktorý ukladá atypické udalosti zistené pri dekódovaní paketov. EVE tiež rozšírila zobrazovanie informácií o VLAN a rozhraniach na zachytávanie premávky. Pridaná možnosť uložiť všetky hlavičky HTTP v záznamoch protokolu EVE http;
- Manipulátory založené na eBPF poskytujú podporu pre hardvérové mechanizmy na urýchlenie zachytávania paketov. Hardvérová akcelerácia je momentálne obmedzená na sieťové adaptéry Netronome, ale čoskoro bude dostupná aj pre iné zariadenia;
- Kód na zachytávanie návštevnosti pomocou rámca Netmap bol prepísaný. Pridaná možnosť používať pokročilé funkcie Netmap, ako je virtuálny prepínač ;
- podpora pre novú schému definície kľúčových slov pre Sticky Buffers. Nová schéma je definovaná vo formáte „protocol.buffer“, napríklad pri kontrole URI bude mať kľúčové slovo tvar „http.uri“ namiesto „http_uri“;
- Všetok použitý kód Python je testovaný na kompatibilitu s
Python 3; - Podpora pre architektúru Tilera, textový protokol dns.log a staré protokolové súbory-json.log bola ukončená.
Vlastnosti Suricaty:
- Použitie jednotného formátu na zobrazenie výsledkov skenovania , využívaný aj projektom Snort, ktorý umožňuje použitie štandardných analytických nástrojov ako napr . Možnosť integrácie s produktmi BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
- Podpora automatickej detekcie protokolov (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atď.), čo vám umožní pracovať v pravidlách iba podľa typu protokolu, bez odkazu na číslo portu (napríklad blokovať HTTP prevádzka na neštandardnom porte). Dostupnosť dekodérov pre protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
- Výkonný systém na analýzu návštevnosti HTTP, ktorý využíva špeciálnu knižnicu HTP vytvorenú autorom projektu Mod_Security na analýzu a normalizáciu návštevnosti HTTP. Pre vedenie detailného logu tranzitných HTTP prenosov je k dispozícii modul, ktorý je uložený v štandardnom formáte
Apache. Je podporované získavanie a kontrola súborov prenášaných cez HTTP. Podpora analýzy komprimovaného obsahu. Schopnosť identifikovať pomocou URI, Cookie, hlavičiek, user-agent, tela požiadavky/odpovede; - Podpora rôznych rozhraní na zachytenie prevádzky, vrátane NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovať už uložené súbory vo formáte PCAP;
- Vysoký výkon, schopnosť spracovať toky až 10 gigabitov/s na konvenčnom zariadení.
- Vysoko výkonný mechanizmus zhody masky pre veľké sady IP adries. Podpora výberu obsahu podľa masky a regulárnych výrazov. Izolácia súborov od prevádzky vrátane ich identifikácie podľa názvu, typu alebo kontrolného súčtu MD5.
- Schopnosť používať premenné v pravidlách: môžete uložiť informácie z prúdu a neskôr ich použiť v iných pravidlách;
- Použitie formátu YAML v konfiguračných súboroch, ktorý vám umožňuje zachovať prehľadnosť a zároveň sa ľahko strojovo spracovávať;
- Plná podpora IPv6;
- Zabudovaný motor na automatickú defragmentáciu a opätovné zostavenie paketov, čo umožňuje správne spracovanie tokov bez ohľadu na poradie, v ktorom pakety prichádzajú;
- Podpora tunelovacích protokolov: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Podpora dekódovania paketov: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Režim protokolovania kľúčov a certifikátov, ktoré sa objavujú v pripojeniach TLS/SSL;
- Schopnosť písať skripty v jazyku Lua na poskytovanie pokročilých analýz a implementáciu ďalších možností potrebných na identifikáciu typov prevádzky, pre ktoré štandardné pravidlá nestačia.
Zdroj: opennet.ru