После года разработки организация OISF (Open Information Security Foundation) uvoľnenie systému detekcie a prevencie narušenia siete , ktorá poskytuje nástroje na kontrolu rôznych druhov dopravy. V konfiguráciách Suricata je možné použiť , ktorý vyvinul projekt Snort, ako aj súbory pravidiel и . Zdroje projektu pod licenciou GPLv2.
Hlavné zmeny:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
Vlastnosti Suricaty:
- Použitie jednotného formátu na zobrazenie výsledkov skenovania , využívaný aj projektom Snort, ktorý umožňuje použitie štandardných analytických nástrojov ako napr . Možnosť integrácie s produktmi BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
- Podpora automatickej detekcie protokolov (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atď.), čo vám umožní pracovať v pravidlách iba podľa typu protokolu, bez odkazu na číslo portu (napríklad blokovať HTTP prevádzka na neštandardnom porte). Dostupnosť dekodérov pre protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
- Výkonný systém na analýzu návštevnosti HTTP, ktorý využíva špeciálnu knižnicu HTP vytvorenú autorom projektu Mod_Security na analýzu a normalizáciu návštevnosti HTTP. Pre vedenie detailného logu tranzitných HTTP prenosov je k dispozícii modul, ktorý je uložený v štandardnom formáte
Apache. Je podporované získavanie a kontrola súborov prenášaných cez HTTP. Podpora analýzy komprimovaného obsahu. Schopnosť identifikovať pomocou URI, Cookie, hlavičiek, user-agent, tela požiadavky/odpovede; - Podpora rôznych rozhraní na zachytenie prevádzky, vrátane NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovať už uložené súbory vo formáte PCAP;
- Vysoký výkon, schopnosť spracovať toky až 10 gigabitov/s na konvenčnom zariadení.
- Vysoko výkonný mechanizmus zhody masky pre veľké sady IP adries. Podpora výberu obsahu podľa masky a regulárnych výrazov. Izolácia súborov od prevádzky vrátane ich identifikácie podľa názvu, typu alebo kontrolného súčtu MD5.
- Schopnosť používať premenné v pravidlách: môžete uložiť informácie z prúdu a neskôr ich použiť v iných pravidlách;
- Použitie formátu YAML v konfiguračných súboroch, ktorý vám umožňuje zachovať prehľadnosť a zároveň sa ľahko strojovo spracovávať;
- Plná podpora IPv6;
- Zabudovaný motor na automatickú defragmentáciu a opätovné zostavenie paketov, čo umožňuje správne spracovanie tokov bez ohľadu na poradie, v ktorom pakety prichádzajú;
- Podpora tunelovacích protokolov: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Podpora dekódovania paketov: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Režim protokolovania kľúčov a certifikátov, ktoré sa objavujú v pripojeniach TLS/SSL;
- Schopnosť písať skripty v jazyku Lua na poskytovanie pokročilých analýz a implementáciu ďalších možností potrebných na identifikáciu typov prevádzky, pre ktoré štandardné pravidlá nestačia.
Zdroj: opennet.ru