Suricata

Suricata & rsquo; IDS / IPS mühərriki çox yivli və yerli IPv6 dəstəyinə malikdir. Mövcud Snort qaydalarına və imza yükləməyə qadirdir və Barnyard və Barnyard2 alətlərini dəstəkləyir.

Suricata'yı çalışmalısınız, çünki çox ölçeklenebilir, en yaygın protokolleri tanıyır ve binlerce dosya türünü belirleyebilir, MD5 sağlama ölçümlerini kontrol edir və arxivlerden faylları çıxarır.

Suricata, GNU / Linux, BSD (FreeBSD və OpenBSD), Microsoft Windows və Mac OS X əməliyyat sistemlərində uğurla istifadə edilə bilən cross-platform proqramdır.

Proqram yalnız yüklənmədən əvvəl konfiqurasiya və tərtib edilməli olan bir mənbə arxivi kimi paylanır. Lakin, Linux dağıtıcınızın default proqram depolarından kolayca yükleyebilirsiniz. Hər iki 32-bit və 64-bit hardware platformaları dəstəklənir.

Açıq mənbə texnologiyasına əsaslanan ən yaxşı IDS və IPS proqramı

Suricata heç bir şübhəsiz ki, heç bir şübhəsiz ki, ən yaxşı IDS (Hücum Algılama Sistemi) və İPS (İntruziya qarşısının alınması Sistemi) proqramı, yalnız açıq mənbə texnologiyaları ilə təchiz edilmişdir.

Yeni nədir bu sürümde:

• Təhlükəsizlik:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Değişiklikler:
• Hata # 2480: http eve günlük məlumat mənbəyi / dest flip (4.0.x)
• Hata # 2482: HTTP bağlantısı: 3.1 və 4.0.x arasındakı fərq dərəcələrində fərq.
• Bug # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Səhv # 2532: hüzün: pas qatışığı olmadan app-katlı hadisə qaydalarını istifadə edərkən
• Bug # 2533: Suricata gzip açılmamış bypass (4.0.x)
• Bug # 2534: TCP RST qarşılanıldığında Suricata TCP axınını yox edir (4.0.x)
• Bug # 2535: SC_LOG_CONFIG səviyyəsindəki mesajlar EMERG prioritetli syslog'a daxil edilir (4.0.x)
• Bug # 2537: libhtp 0.5.27 (4.0.x)
• Bug # 2540: getrandom hər hansı suricata start əmrini daha sonra OS-nin (4.0.x)
• Səhv # 2544: sərhəddən ssh oxumaq (4.0.x)
• Səhv # 2545: həddən oxumaq (4.0.x)
çıxın

Sürüm 4.0.4 'deki nə yeni :

• Təhlükəsizlik:
• CVE-2018-6794 saylı # 2440 nömrəsi tələb olundu
• Değişiklikler:
• Hata # 2306: müvəffəqiyyətli çıxış logının açılması zamanı sürüşkən 4 deadlocks
• Səhv # 2361: qayda yenidən yüklənir
• Səhv # 2389: BUG_ON AppLayerIncFlowCounter-da təsdiqləyir (4.0.x)
• Bug # 2392: libhtp 0.5.26 (4.0.x)
• Səhv # 2422: [4.0.3] af_packet: (ehtimal ki) inline kanalını pozan bir sızma
• Səhv # 2438: müxtəlif konfiqurasiya ayrılma məsələləri
• Səhv # 2439: PSP vaxt damgası sıfır olduqda offline timestampu bərpa edin (4.0.x)
• Hata # 2440: axın mühərrikinin bypass məsələsi (4.0.x)
• Bug # 2441: der parser: pis giriş cpu və yaddaşını (4.0.x) sərf edir
• Bug # 2443: DNP3 memcpy bufer taşması (4.0.x)
• Hata # 2444: rust / dns: Malformasiya edilmiş trafik ilə Core Dump (4.0.x)
• Səhv # 2445: http orqanları / file_data: mövzuların yaradıcısı həddən yazılı

Sürümdeki yeni :

• Feature # 2245: ieee802.1AH trafik üçün dekoder
• Səhv # 798: yaml konfiqurasiyasında stats.log - əlavə seçim -
itkin
• Səhv # 891: detect-engine.profile yanlış dəyərlərdə səhv etmir - suricata.yaml
• Səhv # 961: maksimum bekleyen paket dəyişən ayrıştırma
• Səhv # 1185: napatech: ccket xəbərdarlığı
• Səhv # 2215: Ünik yuvasına yazılan hadisələri itirib
• Bug # 2230: valgrind memcheck - 4.0.0-dev (dev 1180687)
• Səhv # 2250: təsbit edin: byte_extract və isdataat qarışığı FP & FN olur
• Hata # 2263: udp trafikdə dns_query istifadə edildikdə məzmun eşqaları nəzərə alınmadı
• Səhv # 2274: utse-misc.c'de ParseSizeString: Null-pointer dereference
• Səhv # 2275: ConfGetInt in conf.c: NULL-pointer dereference
• Səhv # 2276: conf: CoredumpLoadConfig-də NULL-point göstəricisi
• Hata # 2293: qaydalar: dərinlik & lt; məzmun qaydaları rədd edilmədi
• Hata # 2324: http_start (4.0.x) 'da segfault
• Səhv # 2325: ICMP və axının yoxlanması üzrə Suricata segfaults (4.0.x)

Sürüm 4.0.1'de yeni :

• Təkmilləşdirilmiş Algılama:
• Geliştirici Tehditler ve Pozitif Teknolojilerde kural yazma ekiplerimizin değerli geri bildirimlerine dayanarak, HTTP, SSH ve diğer protokolleri incelemek üçün bir çox qayda açar sözü ekledik ve geliştirdik. TLS əlavələri, NorCERT-də Mats Klepsland tərəfindən yaradılıb, o cümlədən kodlaşdırma, giriş və TLS seriya nömrələrinə uyğunlaşdırılıb. Bundan əlavə, Suricata indi qələm yazıçılarına imza hədəfini kimin təyin etməsinə imkan verir. Bu məlumat, EVE JSON girişində, siqnallar ilə daha çox kontekst vermək üçün istifadə olunur.
• TLS təkmilləşdirilmiş, NFS əlavə edildi:
• TLS tərəfində daha çox: Böyük yeni bir xüsusiyyət SMTP və FTP-də STARTTLS üçün dəstəkdir. İndi bu hallarda TLS sessiyaları daxil olacaq. Mats Klepslanddan daha çox yaxşılıq. Həm də, Ray Ruvinskiyin işi sayəsində TLS sessiyasının yenidən başlanması gündəmə gətirilir. Əlavə TLS giriş təkmilləşdirilməsi Paulo Pacheco tərəfindən həyata keçirildi.
• NFS kodlaşdırma, giriş və fayl çıxarılması eksperimental Pas dəstəyinin bir hissəsi kimi əlavə edildi. Rust haqqında daha ətraflı məlumat üçün oxuyun.
• Daha çox EVE JSON:
• EVE bir neçə yolla uzadılıb ...
• encapsulated trafik halında həm daxili, həm də xarici ip ünvanları və limanları daxil edilir
• 'vars' təsisi flowbits və digər vars var. Bu, həmçinin qaydalara əsasən PCRE bəyanatını istifadə edərək, trafikdən çıxarılan məlumatları qeyd etmək üçün istifadə edilə bilər.
• EVE artıq vaxtına əsasən dönə bilər.
• EVE isteğe bağlı olaraq HTTP isteği və / və ya cəza orqanlarını
'a daxil etmək üçün uzadılıb
• (qismən) axını qeydləri xəbərdarlıq qeydlərinə əlavə edilir.
• 'vars' təsisi burada əsas inkişaflardan biridir, çünki imzanın giriş üçün dəqiq məlumat çıxarmaq mümkündür. Məsələn, bir imza, elan edilmiş bir proqram versiyasını və ya e-poçt alıcısı kimi digər məlumatları çıxara bilər. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Daha Təhlükəsiz Gələcəyə İlk Adım:
• Bu, Nom parser çərçivəsini istifadə edərək, Rust dilində parçaları tətbiq etdiyimiz ilk azaddır. Bu iş, Pierre Chiffliers'in (ANSSI) ilhamıyla, SuriCon 2016'da (pdf) danışılar. -Enable-pasla kompilyasiya edərək, əsas NFS parserini və DNS parserinin yenidən tətbiqini alacaqsınız. Bununla əlaqədar geribildirim yüksək qiymətləndirilir.
• Rust dəstəyi hələ də eksperimentaldır, çünki biz onu necə icra etməyə, həyata keçirəcəyinə və icmada onu dəstəkləmək üçün nə edəcəyinə baxmağa davam edirik. Bundan əlavə biz Pierre Chiffliers Rust parsers iş daxil. Bu, Xarici Rust parser "sandıqları" istifadə edir və -enable-rust-experimental istifadə edərək effektivdir. Əvvəlcə bu bir NTP parserini əlavə edir.
• Hood altında:
• Böyük bir TCP axını motoru yeniləməsi daxil edilir. Bu, xüsusən IPS rejimində daha yaxşı performans və daha az konfiquraya səbəb olmalıdır. TCP GAP bərpasının ilk addımları DNS və NFS tətbiqləri ilə aparıldı.
• Geliştiriciler üçün bu sürüm, aşkarlama motorunu yüksək performanslı açar sözlər ilə daha da asanlaşdırır. Çox modellik eşleme istifadə edərək, yeni yüksək performanslı bir söz əlavə etmək artıq bir neçə kod satırını tələb edir.
• Sənədlər:
• SecureWorks-da David Wharton Snort-da arxa plana malik qayda yazıçıları üçün sənədlərdə bir hissə yaradıb.
• Hood altında:
• Böyük bir TCP axını motoru yeniləməsi daxil edilir. Bu, xüsusən IPS rejimində daha yaxşı performans və daha az konfiquraya səbəb olmalıdır. TCP GAP bərpasının ilk addımları DNS və NFS tətbiqləri ilə aparıldı.
• Geliştiriciler üçün bu sürüm, aşkarlama motorunu yüksək performanslı açar sözlər ilə daha da asanlaşdırır. Çox modellik eşleme istifadə edərək, yeni yüksək performanslı bir söz əlavə etmək artıq bir neçə kod satırını tələb edir.
• Sənədlər:
• SecureWorks-da David Wharton Snort-da arxa plana malik qayda yazıçıları üçün sənədlərdə bir hissə yaradıb.
• Bug # 1997: tls-mağaza: Surikatanın qəzaya səbəb olması səhvidir
• Hata # 2001: İstenmeyen DNS cavabların işlənməsi.
• Hata # 2003: BUG_ON orqanı bəzən yan təsirli kodu ehtiva edir
• Hata # 2004: güc hash istifadə edilərkən yarımçıq fayl hash hesabı
• Səhv # 2005: İstək, ələ və http uzunluğu arasında qeyri-sabit ölçülər
• Səhv # 2007: smb: protokol aşkarlanması yalnız serverə nəzarət edir
• Bug # 2008: Suricata 3.2, pcap-log artıq timestamp_pattern PCRE görə işləyir
• Xəta # 2009: Surikata qeyri-root altında qoşulduqda boşaltma parametrlərini ala bilmir
• Hata # 2012: dns.log cavabsız suallar daxil deyil
• Hata # 2017: EVE Kayıp Alanları
• Hata # 2019: IPv4 defrag yayınma problemi
• Səhv # 2022: dns: bağlı yaddaşdan oxundu

Yeni versiyası 3.2:

• Böyük dəyişikliklər:
• bypass
• ön filtre - sürətli paket açar sözləri
• TLS təkmilləşdirilməsi
• SCADA / ICS protokol əlavələri: DNP3 CIP / ENIP
• Fayl eşleme, giriş və çıxarmaq üçün SHA1 / SHA256
• Sfenks sənədləri
• Görünən kiçik dəyişikliklər:
• NIC boşaltma default
sıfırlandı
• default unix komanda socket aktiv
• App Layer stats
• Başlıq altında:
• basitləşdirmə işarəsi (log api + daha çox mövzu yenidən başlasa)
• axın menecerinin optimallaşdırılması
• açar sözlər əlavə etməyi asanlaşdıracaq
• böyük deploymentlərdə yaddaş işlənməsini yaxşılaşdırır

Sürüm 3.1.2'de yeni :

• Feature # 1830: ərəb logda dəstək 'tag'
• Feature # 1870: giriş daha effektiv axın flow_id
• Feature # 1874: Cisco Parça Yolu / DCE dəstək
• Feature # 1885: eve: bütün düşmüş paketləri daxil etmək üçün seçim əlavə et
• Feature # 1886: dns: çıxış filtreleme
• Səhv # 1849: Ethernet FCS mövcud olduqda ICMPv6 yanlış sağlama xəbərdarlığı
• Səhv # 1853: dce_stub_data tamponunu düzeltin
• Səhv # 1854: vahid2: tagged paketlərin işləməməsi
• Səhv # 1856: PCAP rejimi cihazı tapılmadı
• Səhv # 1858: 3.0.1-dən 3.1.1-ə yüksəldikdən sonra bir çox TCP-nin 'çoğaltılan variant /
• Səhv # 1878: dns: sshfp qeydlərinə giriş zamanı qəza
• Səhv # 1880: icmpv4 səhv paketləri tcp / udp
• Bug # 1884: libhtp 0.5.22

Sürüm 3.1.1'de yeni :

• Feature # 1775: Lua: SMTP-dəstək
• Hata # 1419: DNS əməliyyatının idarə edilməsi məsələləri
• Hata # 1515: Birdən çox IP istifadə edərkən Threshold.config ilə problem
• Xəta # 1664: Axının yaşlandığı zaman qeyd edilməyən DNS sorguları
• Hata # 1808: Güzəştləri düşdükdən sonra mövzu prioritetini təyin edə bilmir
• Səhv # 1821: Suricata 3.1 CentOS6'da başlamadı
• Səhv # 1839: suricata 3.1 configure.ac deyir> = libhtp-0.5.5, lakin <> libhtp-0.5.20 tələb olunur
• Bug # 1840: -sərhə açar sözlər və -list-app-qat-prototları işləmir
• Səhv # 1841: libhtp 0.5.21
• Hata # 1844: netmap: IPS rejimi promisc rejimində 2 iface təyin etmir
• Səhv # 1845: Logger hələ də aktiv olduqda bir app-layer protokolunun aradan qaldırılması üçün zərər
• Optimizasyon # 1846: af-paket: iplik hesablama mantığını yaxşılaşdırın
• Optimizasyon # 1847: qaydalar: boş faylları xəbərdar etmə

Sürüm 3.0.1'de yeni :