The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск системы обнаружения атак Suricata 6.0

08.10.2020 23:07

После года разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 6.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Основные изменения:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test - параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.



Особенности Suricata:

  • Использование для вывода результатов проверки унифицированного формата Unified2, также используемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
  • Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH;
  • Мощная система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика специальную библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате Apache. Поддерживается извлечение и проверка передаваемых по протоколу HTTP файлов. Поддержка разбора сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
  • Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
  • Высокая производительность, способность обрабатывать на обычном оборудовании потоки до 10 гигабит/cек.
  • Высокопроизводительный механизм сопоставления по маске с большими наборами IP адресов. Поддержка выделение контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или контрольной сумме MD5.
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
  • Использование формата YAML в файлах конфигурации, что позволяет сохранить наглядность при лёгкости машинной обработки;
  • Полная поддержка IPv6;
  • Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
  • Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Режим ведения лога ключей и сертификатов, фигурирующих в рамках соединений TLS/SSL;
  • Возможность написания скриптов на языке Lua для обеспечения расширенного анализа и реализации дополнительных возможностей, необходимых для определения видов трафика, для которых недостаточно стандартных правил.


  1. Главная ссылка к новости (https://suricata-ids.org/2020/...)
  2. OpenNews: Доступна система обнаружения атак Suricata 5.0
  3. OpenNews: Доступен дистрибутив для создания межсетевых экранов OPNsense 20.7
  4. OpenNews: Доступна система глубокого инспектирования пакетов nDPI 3.0
  5. OpenNews: Релиз системы обнаружения атак Snort 2.9.16.0
  6. OpenNews: Кандидат в релизы системы обнаружения атак Snort 3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53857-suricata
Ключевые слова: suricata, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 00:14, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Cuda так и не вернули?
     
  • 1.4, Михрютка (ok), 01:01, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    домашнему мастеру на заметку - перед обновлением сурикаты на продуктиве непременно проверьте ее на некритическом коммутаторе.

    а то при апгрейде с 4 что-то там на 5 наши безпечники четыре раза рестартовали коре свитч, куда это чудо было воткнуто двумя интерфейсами. оно при рестарте что-то такое отправляло в порты, что хьюлетовский свитч сам немедленно уходил в рестарт. в итоге 4 рестарта одного из ядерных коммутаторов за 30 минут самого что ни на есть бизнес тайма.

    мой начальник потом мне чуть голову не откусил, потому что выдрали за простой, как обычно, кампютырщиков, а не безопасников.

     
     
  • 2.5, Аноним (5), 08:31, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Такие вещи надо сувать в портмиррор.
     
     
  • 3.10, jfdbngh (?), 11:27, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Два одинаковых коммента. Этот нормальный и ниже - токсичный. Почему токсичные собирают больше плюсов?
     
     
  • 4.18, Аноним (18), 20:09, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Где тут токсичный комментарий?
     
  • 3.21, Михрютка (ok), 23:03, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Такие вещи надо сувать в портмиррор.

    ее сували в портмиррор, еще когда первый раз установили.

    внимательнее читайте, речь шла об апгрейде работавшей системы. минуточку, как вы собираетесь бегать систему анализа l2 трафика в пределах свитча без портмиррора?

    просто вот такая забавная фишка получилась после апгрейда, при коммутации сенсор интерфейса, или при запуске сурикаты на этом интерфейсе, hp свитч мгновенно уходил в рестарт, даже в лог пискнуть не успевал. это уже на резервном свитче экспериментировали. проверили на делле - никаких проблем.


     
     
  • 4.23, бродского не читал (?), 09:50, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В IDS режиме интерфейс открывается только на чтение. Поэтому описанное поведение имеет только одно объяснение: при попытке согласовать режим работы интерфейса "скорость/дуплекс/управление потоком" у вашего микротика или длинка есть не самые поддерживаемые варианты. Можно при помощи ethtool попробовать самостоятельно их найти, при необходимости технически полного отчета об инциденте.
     
  • 2.6, Аноним (6), 10:10, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тоесть вы это даже не через порт мироринг подняли? О_О
    Я бы вам не то что голову откусил - жо..у на британский флаг порвал!
     
     
  • 3.20, Михрютка (ok), 22:17, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > тоесть вы это даже не через порт мироринг подняли? О_О
    > Я бы вам не то что голову откусил - жо..у на британский
    > флаг порвал!

    я рад, что здесь многие знают слова порт мирроринг. если б при этом вы еще умели читать все остальные слова, перед тем, как отвечать на комент, было бы ваще отлично.

     

  • 1.7, Аноним (7), 10:12, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.

    А за что тогда растаманов ругают?

     
     
  • 2.27, Аноним (-), 12:49, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот например
    https://redmine.openinfosecfoundation.org/issues/4064

    Т.е мало того что нужно тянуть хруст, так у тебя обязательно должен быть последний со всеми майнерами обновленными чейн ключами хозяев.

     

  • 1.9, Кир (?), 11:05, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Снорт и Суриката - это как садиться на пороховую бочку, в любой момент могут перестать открываться критично важные сайты.
     
     
  • 2.12, Аноним (12), 13:58, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бизнес - это как садиться на пороховую бочку, в любой момент могут
     

  • 1.13, Аноним (13), 14:32, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >>Начальная поддержка HTTP/2.

    Уже ШТТП3 включают кругом, а они ещё тут.

     
  • 1.14, Аноним (14), 18:23, 09/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Rust

    печально. у меня уже не соберётся. рип детекция вторжений, хотя не то чтобы я и так очень хотел поставить себе этот spyware. а теперь из-за руста даже нельзя почитать исходники и посмотреть что же он у себя внутри делает.

     
     
  • 2.15, little Bobby tables (?), 19:39, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    врядли исходники бинарные. это же не конфиги системд.
     
     
  • 3.16, Аноним (14), 19:46, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну они просто не читаемые. это как писать на перле и предлагать почитать исходники. такие исходники даже за деньги не все хотят читать.
     
     
  • 4.17, Аноним (17), 19:55, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так и пиши: "я не осилил rust и perl".
     
     
  • 5.19, Аноним (14), 20:42, 09/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну удачки в установке бинарей потому что не компилится из исходников, и в вычитке "безопасных" исходников которые не читаются.

    а почему у них на гитхабе issues закрыты, ты не знаешь?

     
     
  • 6.24, Аноним (17), 20:57, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > удачки в установке бинарей потому что не компилится из исходников, и в вычитке "безопасных" исходников которые не читаются.

    Тут понимаешь какой затык: у *меня* обычно исходники компилятся и читаются.

    > а почему у них на гитхабе issues закрыты, ты не знаешь?

    Вот чего я точно не знаю — почему ты решил спросить это именно у меня? Но, так и быть, объясню. Так делают в тех случаях, когда используют другой баг-трекер. Ссылку на него обычно можно найти на официальном сайте. Но на всякий случай я нашёл её за тебя, вот: https://redmine.openinfosecfoundation.org/projects/suricata

     
  • 4.22, Аноним (22), 01:08, 10/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не вижу никаких проблем, хорошие чистые читаемые исходники, не перл не разу. Можете рассказать что именно вас смущает?
     
     
  • 5.25, Аноним (-), 11:04, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В том месте где надо покупать ненасытный комбайн с гигабайтами памяти опеределенной архитектуры ради прихоти автора которому на понедельник захотелось обрадовать своих пользователей хрустиками. А так все понятно, уходим на другую программу.
     
     
  • 6.26, Аноним (-), 11:08, 11/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А и самое главное синтаксис. А точнее отсутствие любого желания его изучать.
     

  • 1.29, Аноним (29), 22:26, 14/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кручу сцрикату на pfsense. В принципе доволен.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру