Релиз системы обнаружения атак Suricata 1.4
14 декабря 2012 года
Организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 1.4. Система отличается поддержкой ускорения работы через задействование вычислений на стороне GPU (CUDA и OpenCL), поддерживает многопоточность для оптимального задействования мощностей многоядерных систем и имеет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.
Из новшеств, добавленных в Suricata 1.4, можно отметить:
- Поддержка режима Unix Socket для автоматизированной обработки набора pcap-файлов;
- Подсистема IP Reputation для загрузки, учёта и использования в правилах данных из различных БД с репутацией хостов;
- Новое ключевое слово Luajit для инспектирования пакетов, передаваемых данных и HTTP-трафика с использованием скриптов на языке Lua;
- Режим отложенной инициализации, когда обработка пакетов начинается сразу, а движок обнаружения атак загружается в фоне;
- Ключевое слово pkt_data для анализа содержимого пакетов;
- Ключевое слово Filesize для учёта в правилах размеров перехваченных из HTTP-трафика файлов;
- Поддержка декодирования туннелей IPv4-in-IPv6, IPv6-in-IPv6 и Teredo;
- Возможность привязки настроек парсера в привязке к отдельным HTTP-серверам;
- Поддержка подключения внешних движков для ведения HTTP-логов;
- Модуль для ведения лога TLS-сертификатов и параметров цифровых подписей. Поддержка сохранения перехваченных сертификатов на диск;
- Поддержка интерфейса AF_PACKET для прямого забора пакетов из сетевого адаптера;
- Поддержка специализированных карт захвата трафика Napatech.
Особенности Suricata:
- Использование для вывода результатов проверки унифицированного формата Unified2, также используемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
- Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH;
- Мощная система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика специальную библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате
Apache. Поддерживается извлечение и проверка передаваемых по протоколу HTTP файлов. Поддержка разбора сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
- Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
- Высокая производительность, способность обрабатывать на обычном оборудовании потоки до 10 гигабит/cек.
- Высокопроизводительный механизм сопоставления по маске с большими наборами IP адресов. Поддержка выделение контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или контрольной сумме MD5.
- Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
- Использование формата YAML в файлах конфигурации, что позволяет сохранить наглядность при легкости машинной обработки;
- Полная поддержка IPv6;
- Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
- Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Режим ведения лога ключей и сертификатов, фигурирующих в рамках соединений TLS/SSL;
- Возможность написания скриптов на языке Lua для обеспечения расширенного анализа и реализации дополнительных возможностей, необходимых для определения видов трафика, для которых не достаточно стандартных правил.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
