OISF (Open Information Security Foundation) опублікувала реліз системи виявлення та запобігання мережевим вторгненням Suricata 5.0

OISF (Open Information Security Foundation) опублікувала реліз системи виявлення та запобігання мережевим вторгненням Suricata 5.0, яка надає засоби інспектування різних видів трафіку. У конфігураціях Suricata допустимо задіяння бази сигнатур, що розвивається проектом Snort, а також наборів правил Emerging Threats і Emerging Threats Pro. Вихідні тексти проекту розповсюджуються під ліцензією GPLv2.

Основні зміни:

• Представлено нові модулі розбирання та ведення лога для протоколів RDP, SNMP та SIP, написані мовою Rust. У модуль для аналізу FTP додано можливість ведення лога через підсистему EVE, що забезпечує виведення подій у форматі JSON;
• На додаток до підтримки методу ідентифікації TLS-клієнтів JA3, що з'явилася в минулому випуску, додана підтримка методу JA3S, дозволяючого на основі особливостей узгодження з'єднань і заданих параметрів визначати яке ПЗ використовується для встановлення з'єднання (наприклад, дозволяє визначити використання Tor та інших типових додатків) . JA3 дає можливість визначати клієнтів, а JA3S – сервери. Результати визначення можна використовувати в мові завдання правил та в логах;
• Додано експериментальну можливість зіставлення з вибіркою з великих наборів даних, що реалізується за допомогою нових операцій dataset і datarep. Наприклад, можливість застосовується для пошуку масок у великих чорних списках, що налічують мільйони записів;
• У режимі інспектування HTTP забезпечено повне покриття всіх ситуацій, описаних у тестовому наборі HTTP Evader (наприклад, охоплює методи, що застосовуються для приховування у трафіку шкідливої ​​активності);
• Кошти розробки модулів мовою Rust переведені з опцій до розряду обов'язкових штатних можливостей. Надалі планується розширення застосування Rust у кодовій базі проекту та поступова заміна модулів на аналоги, розроблені на Rust;
• Рух визначення протоколів покращено в області підвищення точності та обробки асинхронних потоків трафіку;
• В EVE-лог додано підтримку нового типу записів "anomaly", в яких зберігаються нетипові події, що виявляються при декодуванні пакетів. У EVE також розширено відображення інформації про VLAN та інтерфейси захоплення трафіку. Додано опцію для збереження всіх HTTP-заголовків у http-записах лога EVE;
• В обробниках на базі eBPF забезпечено підтримку апаратних механізмів прискорення захоплення пакетів. Апаратне прискорення поки що обмежене мережевими адаптерами Netronome, але скоро з'явиться і для іншого обладнання;
• Переписаний код для захоплення трафіку за допомогою фреймворку Netmap. Додано можливість використання розширених можливостей Netmap, таких як віртуальний комутатор VALE;
• Додано підтримку нової схеми визначення ключових слів для "липких буферів" (Sticky Buffers). Нова схема визначена у форматі "протокол.буфер", наприклад, для інроспектування URI ключове слово набуде вигляду "http.uri" замість "http_uri";
• Весь використовуваний Python код перевірено на сумісність з Python 3;
• Припинено підтримку архітектури Tilera, текстового лога dns.log та старого лога files-json.log.

Особливості Suricata:

• Використання для виведення результатів перевірки уніфікованого формату Unified2, також використовуваного проектом Snort, що дозволяє використовувати стандартні інструменти для аналізу, такі як barnyard2. Можливість інтеграції з продуктами BASE, Snorby, Sguil та SQueRT. Підтримка виводу у форматі PCAP;
• Підтримка автоматичного визначення протоколів (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB тощо), що дозволяє оперувати у правилах лише типом протоколу, без прив'язки до номера порту (наприклад, блокувати HTTP трафік на нестандартному порту). Наявність декодувальників для протоколів HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP та SSH;
• Потужна система аналізу HTTP-трафіку, яка використовує для розбору та нормалізації HTTP-трафіку спеціальну бібліотеку HTP, створену автором проекту Mod_Security. Доступний модуль для ведення докладного лога транзитних HTTP пересилок, лог зберігається у стандартному форматі Apache. Підтримується вилучення та перевірка переданих за протоколом HTTP файлів. Підтримка аналізу стисненого контенту. Можливість ідентифікації за URI, Cookie, заголовками, user-agent, тілом запиту/відповіді;
• Підтримка різних інтерфейсів для перехоплення трафіку, включаючи NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можливий аналіз вже збережених файлів у форматі PCAP;
• Висока продуктивність, здатність обробляти на звичайному устаткуванні потоки до 10 гігабіт/сек.
• Високопродуктивний механізм зіставлення маски з великими наборами IP адрес. Підтримка виділення контенту за маскою та регулярними виразами. Виділення файлів з трафіку, в тому числі їх ідентифікація на ім'я, тип або контрольну суму MD5.
• Можливість використання змінних у правилах: можна зберегти інформацію з потоку та пізніше використовувати її в інших правилах;
• Використання формату YAML у файлах конфігурації, що дозволяє зберегти наочність за легкості машинної обробки;
• Повна підтримка IPv6;
• Вбудований двигун для автоматичної дефрагментації та перескладання пакетів, що дозволяє забезпечити коректну обробку потоків, незалежно від порядку надходження пакетів;
• Підтримка протоколів тунелювання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Підтримка декодування пакетів: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• Режим ведення лога ключів та сертифікатів, що фігурують у рамках з'єднань TLS/SSL;
• Можливість написання скриптів мовою Lua для забезпечення розширеного аналізу та реалізації додаткових можливостей, необхідних для визначення видів трафіку, для яких не достатньо стандартних правил.

Інші новини