Organizata OISF (Fondacioni i Sigurisë së Informacionit të Hapur) lirimi i sistemit të zbulimit dhe parandalimit të ndërhyrjeve në rrjet , i cili ofron mjete për inspektimin e llojeve të ndryshme të trafikut. Në konfigurimet Suricata është e mundur të përdoret , zhvilluar nga projekti Snort, si dhe grupe rregullash и . Burimet e projektit licencuar sipas GPLv2.
Ndryshimet kryesore:
- Janë prezantuar module të reja për analizimin dhe regjistrimin e protokolleve
RDP, SNMP dhe SIP të shkruara në Rust. Moduli i analizimit FTP tani ka mundësinë të regjistrohet përmes nënsistemit EVE, i cili siguron daljen e ngjarjeve në formatin JSON; - Përveç mbështetjes për metodën e identifikimit të klientit JA3 TLS që u shfaq në versionin e fundit, mbështetje për metodën , Bazuar në karakteristikat e negocimit të lidhjes dhe parametrave të specifikuar, përcaktoni se çfarë softueri përdoret për të krijuar një lidhje (për shembull, ju lejon të përcaktoni përdorimin e Tor dhe aplikacioneve të tjera standarde). JA3 ju lejon të përcaktoni klientët, dhe JA3S ju lejon të përcaktoni serverët. Rezultatet e përcaktimit mund të përdoren në gjuhën e vendosjes së rregullave dhe në regjistrat;
- U shtua aftësia eksperimentale për të përputhur mostrat nga grupe të mëdha të dhënash, të zbatuara duke përdorur operacione të reja . Për shembull, funksioni është i zbatueshëm për kërkimin e maskave në listat e zeza të mëdha që përmbajnë miliona hyrje;
- Modaliteti i inspektimit HTTP siguron mbulim të plotë të të gjitha situatave të përshkruara në paketën e testimit (p.sh. mbulon teknikat e përdorura për të fshehur aktivitetin keqdashës në trafik);
- Mjetet për zhvillimin e moduleve në gjuhën Rust janë transferuar nga opsionet në aftësi standarde të detyrueshme. Në të ardhmen, është planifikuar të zgjerohet përdorimi i Rust në bazën e kodit të projektit dhe gradualisht të zëvendësohen modulet me analoge të zhvilluara në Rust;
- Motori i përkufizimit të protokollit është përmirësuar për të përmirësuar saktësinë dhe për të trajtuar flukset asinkrone të trafikut;
- Mbështetja për një lloj të ri të hyrjes "anomali" është shtuar në regjistrin EVE, i cili ruan ngjarjet atipike të zbuluara gjatë dekodimit të paketave. EVE gjithashtu ka zgjeruar shfaqjen e informacionit rreth VLAN-ve dhe ndërfaqeve të kapjes së trafikut. Opsioni i shtuar për të ruajtur të gjitha titujt HTTP në shënimet e regjistrit të EVE http;
- Trajtuesit e bazuar në eBPF ofrojnë mbështetje për mekanizmat harduerikë për përshpejtimin e kapjes së paketave. Përshpejtimi i harduerit aktualisht është i kufizuar në përshtatësit e rrjetit Netronome, por së shpejti do të jetë i disponueshëm për pajisje të tjera;
- Kodi për kapjen e trafikut duke përdorur kornizën Netmap është rishkruar. U shtua aftësia për të përdorur veçori të avancuara të Netmap si një ndërprerës virtual ;
- mbështetje për një skemë të re të përkufizimit të fjalëve kyçe për Sticky Buffers. Skema e re përcaktohet në formatin "protocol.buffer", për shembull, për inspektimin e një URI, fjala kyçe do të marrë formën "http.uri" në vend të "http_uri";
- I gjithë kodi i Python i përdorur është testuar për pajtueshmëri me
Python 3; - Mbështetja për arkitekturën Tilera, regjistrin e tekstit dns.log dhe skedarët e vjetër të log-json.log është ndërprerë.
Karakteristikat e Suricata:
- Përdorimi i një formati të unifikuar për të shfaqur rezultatet e skanimit , i përdorur edhe nga projekti Snort, i cili lejon përdorimin e mjeteve standarde të analizës si p.sh . Mundësia e integrimit me produktet BASE, Snorby, Sguil dhe SQueRT. mbështetje e daljes PCAP;
- Mbështetje për zbulimin automatik të protokolleve (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, etj.), duke ju lejuar të veproni sipas rregullave vetëm sipas llojit të protokollit, pa iu referuar numrit të portit (për shembull, bllokoni HTTP trafiku në një port jo standard). Disponueshmëria e dekoderave për protokollet HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP dhe SSH;
- Një sistem i fuqishëm i analizës së trafikut HTTP që përdor një bibliotekë të veçantë HTP të krijuar nga autori i projektit Mod_Security për të analizuar dhe normalizuar trafikun HTTP. Ekziston një modul për mbajtjen e një regjistri të detajuar të transfertave tranzit HTTP; regjistri ruhet në një format standard
Apache. Mbështetet marrja dhe kontrollimi i skedarëve të transmetuar përmes HTTP. Mbështetje për analizimin e përmbajtjes së ngjeshur. Aftësia për të identifikuar nga URI, Cookie, headers, përdorues-agjent, trupi i kërkesës/përgjigjes; - Mbështetje për ndërfaqe të ndryshme për përgjimin e trafikut, duke përfshirë NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Është e mundur të analizohen skedarët e ruajtur tashmë në formatin PCAP;
- Performancë e lartë, aftësi për të përpunuar flukse deri në 10 gigabit/sek në pajisjet konvencionale.
- Mekanizmi i përputhjes së maskave me performancë të lartë për grupe të mëdha adresash IP. Mbështetje për zgjedhjen e përmbajtjes me maskë dhe shprehje të rregullta. Izolimi i skedarëve nga trafiku, duke përfshirë identifikimin e tyre me emër, lloj ose kontroll MD5.
- Aftësia për të përdorur variabla në rregulla: mund të ruani informacionin nga një transmetim dhe më vonë ta përdorni në rregulla të tjera;
- Përdorimi i formatit YAML në skedarët e konfigurimit, i cili ju lejon të ruani qartësinë duke qenë i lehtë për t'u përpunuar;
- Mbështetje e plotë IPv6;
- Motori i integruar për defragmentimin automatik dhe rimontimin e paketave, duke lejuar përpunimin e saktë të rrymave, pavarësisht nga radha në të cilën mbërrijnë paketat;
- Mbështetje për protokollet e tunelit: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Mbështetje për dekodimin e paketave: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Modaliteti për regjistrimin e çelësave dhe certifikatave që shfaqen brenda lidhjeve TLS/SSL;
- Aftësia për të shkruar skripta në Lua për të ofruar analiza të avancuara dhe për të zbatuar aftësi shtesë të nevojshme për të identifikuar llojet e trafikut për të cilët rregullat standarde nuk janë të mjaftueshme.
Burimi: opennet.ru