Suricata

Suricata & rsquo; механизм IDS / IPS s является многопоточным и имеет встроенную поддержку IPv6. Он способен загружать существующие правила и подписи Snort и поддерживает инструменты Barnyard и Barnyard2.

Вы должны попробовать Suricata, потому что он обладает высокой масштабируемостью, он распознает большинство распространенных протоколов и может идентифицировать тысячи типов файлов, проверять контрольные суммы MD5 и извлекать файлы из архивов.

Suricata - это кросс-платформенное приложение, которое может быть успешно использовано в операционных системах GNU / Linux, BSD (FreeBSD и OpenBSD), Microsoft Windows и Mac OS X.

Программное обеспечение распространяется только как исходный архив, который необходимо настроить и скомпилировать перед установкой. Однако вы можете легко установить его из стандартных репозиториев программного обеспечения вашего дистрибутива Linux. Поддерживаются как 32-разрядные, так и 64-разрядные аппаратные платформы.

Лучшее программное обеспечение IDS и IPS на основе технологий с открытым исходным кодом

Suricata без сомнения является лучшей системой IDS (Intrusion Detection System) и IPS (система предотвращения вторжений), когда-либо созданной, работающей только с использованием технологий с открытым исходным кодом.

Что нового в этой версии:

• Безопасность:
• CVE-2018-10242, CVE-2018-10244 (сурикаты)
• CVE-2018-10243 (libhtp)
• Изменения:
• Ошибка # 2480: http eve log data source / dest flip (4.0.x)
• Ошибка # 2482: HTTP-соединение: разница в скоростях обнаружения между 3.1 и 4.0.x
• Ошибка # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Ошибка # 2532: memleak: при использовании правил событий на уровне приложения без ржавчины
• Ошибка № 2533: обходной патч для распаковки gzip (4.0.x)
• Ошибка # 2534: Suricata перестает проверять TCP-поток, если был встречен TCP RST (4.0.x)
• Ошибка # 2535: Сообщения с уровнем SC_LOG_CONFIG регистрируются в syslog с приоритетом EMERG (4.0.x)
• Ошибка # 2537: libhtp 0.5.27 (4.0.x)
• Ошибка # 2540: getrandom предотвращает запуск команд suicata на более поздних версиях ОС (4.0.x)
• Ошибка # 2544: ssh out of bounds read (4.0.x)
• Ошибка # 2545: enip out of bounds read (4.0.x)

Что нового в версии 4.0.4:

• Безопасность:
• CVE-2018-6794 был запрошен для выпуска № 2440
• Изменения:
• Ошибка # 2306: суриката 4 взаимоблокировки при повторном открытии журнала ошибок.
• Ошибка # 2361: перезагрузка правила перезагрузки
• Ошибка # 2389: BUG_ON утверждает в AppLayerIncFlowCounter (4.0.x)
• Ошибка # 2392: libhtp 0.5.26 (4.0.x)
• Ошибка # 2422: [4.0.3] af_packet: утечка, которая (возможно) разбивает встроенный канал
• Ошибка # 2438: различные проблемы с анализом конфигурации.
• Ошибка # 2439: Исправить временную отметку в автономном режиме, когда метка времени pcap равна нулю (4.0.x)
• Ошибка № 2440: проблема обхода потока (4.0.x)
• Ошибка # 2441: der parser: плохой ввод потребляет процессор и память (4.0.x)
• Ошибка # 2443: переполнение буфера DNP3 memcpy (4.0.x)
• Ошибка # 2444: rust / dns: Core Dump с искаженным трафиком (4.0.x)
• Ошибка # 2445: http corpor / file_data: создание пространства потоков, выходящих за пределы.

Что нового в версии:

• Функция # 2245: декодер для трафика ieee802.1AH
• Ошибка # 798: stats.log в yaml config - добавление опции - отсутствует
• Ошибка # 891: detect-engine.profile не ошибается в неправильных значениях - suricata.yaml
• Ошибка # 961: макс. ожидающие пакеты разбор переменных
• Ошибка # 1185: napatech: предупреждение cppcheck
• Ошибка # 2215: запись записанных событий в unix-сокет
• Ошибка # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Ошибка # 2250: обнаружение: смешение byte_extract и isdataat приводит к FP & FN
• Ошибка # 2263: совпадения содержимого не учитываются при использовании dns_query в udp-трафике
• Ошибка # 2274: ParseSizeString в util-misc.c: Разрушение нулевого указателя
• Ошибка # 2275: ConfGetInt в conf.c: разыменование NULL-указателя
• Ошибка # 2276: conf: разыменование NULL-указателя в CoredumpLoadConfig
• Ошибка # 2293: правила: depth & lt; правила содержания не отклоняются
• Ошибка # 2324: segfault в http_start (4.0.x)
• Ошибка # 2325: Seicfaults Suricata на ICMP и проверка потока (4.0.x)

Что нового в версии 4.0.1:

• Улучшенное обнаружение:
• Основываясь на ценной обратной связи от команд написания правил в Emerging Threats and Positive Technologies, мы добавили и улучшили многие ключевые слова правил для проверки HTTP, SSH и других протоколов. Добавления TLS были внесены Mats Klepsland в NorCERT, включая декодирование, протоколирование и сопоставление по серийным номерам TLS. Кроме того, Суриката теперь позволяет авторам правил указывать, кто является целью в подписи. Эта информация используется в ведении журнала EVE JSON, чтобы предоставить больше контекста с предупреждениями.
• TLS улучшена, добавлена ​​NFS:
• Подробнее о стороне TLS: важной новой функцией является поддержка STARTTLS в SMTP и FTP. В этих случаях теперь регистрируются сеансы TLS. Больше доброты от Матс Клепсленд. Кроме того, регистрация возобновления сеанса TLS теперь поддерживается благодаря работе Рэя Рувинского. Пауло Пачеко (Paulo Pacheco) выполнили дополнительные улучшения в TLS.
• В рамках экспериментальной поддержки Rust было добавлено декодирование NFS, протоколирование и извлечение файлов. Читайте дальше для получения дополнительной информации о Rust.
• Подробнее EVE JSON:
• EVE расширяется несколькими способами ...
• в случае инкапсулированного трафика регистрируются как внутренние, так и внешние IP-адреса и порты.
• средство «vars» регистрирует потоки и другие вары. Это также можно использовать для регистрации данных, извлеченных из трафика, с помощью инструкции PCRE в правилах
• Теперь EVE можно повернуть в зависимости от времени
• EVE была расширена до факультативного журнала запросов HTTP и / или органов ответа
• (запись в поток) добавляется в записи предупреждений.
• Объект «vars» является одним из основных улучшений здесь, так как теперь подпись позволяет точно извлекать информацию для ведения журнала. Например, подпись может извлекать рекламируемую версию программного обеспечения или другую информацию, такую ​​как получатель сообщения электронной почты. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Первый шаг в безопасное будущее:
• Это первый выпуск, в котором мы реализовали части на языке Rust с использованием платформы парсеров Nom. Эту работу вдохновляет Пьер Чифферс (ANSSI), беседуют в SuriCon 2016 (pdf). Компилируя с помощью -enable-rust, вы получите базовый парсер NFS и повторную реализацию парсера DNS. Отзыв об этом высоко ценится.
• Поддержка Rust все еще экспериментальна, поскольку мы продолжаем изучать, как она функционирует, выполняет и что ей потребуется, чтобы поддержать ее в сообществе. Кроме того, мы работали с парсерами Пьера Чиффлиера. Это использует внешние ящики анализатора ржавчины и активируется с использованием -enable-rust-experimental. Первоначально это добавляет парсер NTP.
• Под капотом:
• Включено основное обновление для потока TCP. Это должно привести к повышению производительности и меньшей конфигурации, особенно в режиме IPS. Были предприняты первые шаги в восстановлении TCP GAP с реализациями для DNS и NFS.
• Для разработчиков этот выпуск значительно расширяет возможности механизма обнаружения с помощью высокопроизводительных ключевых слов. Добавление нового ключевого слова высокой производительности с использованием множественного соответствия шаблонов теперь требует всего нескольких строк кода.
• Документация:
• Дэвид Уортон из SecureWorks создал раздел в документации для авторов правил, у которых есть фон в Snort. Он документирует изменения, которые имеют отношение к написанию правил.
• Следующие шаги:
• Основываясь на отзывах, мы получим, что мы ожидаем выпуск 4.0.1 через месяц или около того. Затем мы начнем работу над следующей крупной версией, которая равна 4.1. Это запланировано на позднюю осень, ETA до SuriCon в Праге.

Что нового в версии 4.0.0:

• Улучшенное обнаружение:
• Основываясь на ценной обратной связи от команд написания правил в Emerging Threats and Positive Technologies, мы добавили и улучшили многие ключевые слова правил для проверки HTTP, SSH и других протоколов. Добавления TLS были внесены Mats Klepsland в NorCERT, включая декодирование, протоколирование и сопоставление по серийным номерам TLS. Кроме того, Суриката теперь позволяет авторам правил указывать, кто является целью в подписи. Эта информация используется в ведении журнала EVE JSON, чтобы предоставить больше контекста с предупреждениями.
• TLS улучшена, добавлена ​​NFS:
• Подробнее о стороне TLS: важной новой функцией является поддержка STARTTLS в SMTP и FTP. В этих случаях теперь регистрируются сеансы TLS. Больше доброты от Матс Клепсленд. Кроме того, регистрация возобновления сеанса TLS теперь поддерживается благодаря работе Рэя Рувинского. Пауло Пачеко (Paulo Pacheco) выполнили дополнительные улучшения в TLS.
• В рамках экспериментальной поддержки Rust было добавлено декодирование NFS, протоколирование и извлечение файлов. Читайте дальше для получения дополнительной информации о Rust.
• Подробнее EVE JSON:
• EVE расширяется несколькими способами ...
• в случае инкапсулированного трафика регистрируются как внутренние, так и внешние IP-адреса и порты.
• средство «vars» регистрирует потоки и другие вары. Это также можно использовать для регистрации данных, извлеченных из трафика, с помощью инструкции PCRE в правилах
• Теперь EVE можно повернуть в зависимости от времени
• EVE была расширена до факультативного журнала запросов HTTP и / или органов ответа
• (запись в поток) добавляется в записи предупреждений.
• Объект «vars» является одним из основных улучшений здесь, так как теперь подпись позволяет точно извлекать информацию для ведения журнала. Например, подпись может извлекать рекламируемую версию программного обеспечения или другую информацию, такую ​​как получатель сообщения электронной почты. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Первый шаг в безопасное будущее:
• Это первый выпуск, в котором мы реализовали части на языке Rust с использованием платформы парсеров Nom. Эту работу вдохновляет Пьер Чифферс (ANSSI), беседуют в SuriCon 2016 (pdf). Компилируя с помощью -enable-rust, вы получите базовый парсер NFS и повторную реализацию парсера DNS. Отзыв об этом высоко ценится.
• Поддержка Rust все еще экспериментальна, поскольку мы продолжаем изучать, как она функционирует, выполняет и что ей потребуется, чтобы поддержать ее в сообществе. Кроме того, мы работали с парсерами Пьера Чиффлиера. Это использует внешние ящики анализатора ржавчины и активируется с использованием -enable-rust-experimental. Первоначально это добавляет парсер NTP.
• Под капотом:
• Включено основное обновление для потока TCP. Это должно привести к повышению производительности и меньшей конфигурации, особенно в режиме IPS. Были предприняты первые шаги в восстановлении TCP GAP с реализациями для DNS и NFS.
• Для разработчиков этот выпуск значительно расширяет возможности механизма обнаружения с помощью высокопроизводительных ключевых слов. Добавление нового ключевого слова высокой производительности с использованием множественного соответствия шаблонов теперь требует всего нескольких строк кода.
• Документация:
• Дэвид Уортон из SecureWorks создал раздел в документации для авторов правил, у которых есть фон в Snort. Он документирует изменения, которые имеют отношение к написанию правил.
• Следующие шаги:
• Основываясь на отзывах, мы получим, что мы ожидаем выпуск 4.0.1 через месяц или около того. Затем мы начнем работу над следующей крупной версией, которая равна 4.1. Это запланировано на позднюю осень, ETA до SuriCon в Праге.

Что нового в версии 3.2.1:

• Функция # 1951: разрешить создание без libmagic / file
• Функция # 1972: SURICATA ICMPv6 неизвестный тип 143 для отчета MLDv2
• Функция # 2010: Suricata должна подтвердить присутствие SSSE3 во время выполнения при построении с поддержкой Hyperscan.
• Ошибка № 467: компиляция с проверкой unittests & debug
• Ошибка # 1780: теги VLAN не перенаправлены в встроенный режим afpacket.
• Ошибка # 1827: Mpm AC не может выделить память
• Ошибка # 1843: Mpm Ac: переполнение int во время init
• Ошибка # 1887: pcap-log устанавливает snaplen в -1
• Ошибка № 1946: не удается получить информацию об ответе в какой-либо ситуации.
• Ошибка # 1973: суриката не запускается из-за unix-сокета
• Ошибка # 1975: утечка памяти hostbits / xbits
• Ошибка # 1982: tls: недействительные триггеры событий записи в действительном трафике
• Ошибка № 1984: проблема с обнаружением протокола http: если обе стороны искажены
• Ошибка # 1985: pcap-log: незначительные утечки памяти
• Ошибка # 1987: log-pcap: файлы pcap, созданные с недопустимым snaplen
• Ошибка # 1988: ошибка tls_cert_subject
• Ошибка № 1989: обнаружение протокола SMTP чувствительно к регистру.
• Ошибка № 1991: Суриката не может анализировать порты: & quot;! [1234, 1235] & quot;
• Ошибка № 1997: tls-store: ошибка, вызывающая сбои Suricata.
• Ошибка # 2001: обработка нежелательных ответов DNS.
• Ошибка # 2003: Тело BUG_ON иногда содержит побочный код
• Ошибка # 2004: Недопустимое вычисление хэш-файла при использовании силового хеша
• Ошибка # 2005: несогласованные размеры между запросом, захватом и длиной http
• Ошибка # 2007: smb: обнаружение протокола просто проверяет toserver
• Ошибка # 2008: Suricata 3.2, pcap-log больше не работает из-за timestamp_pattern PCRE
• Ошибка # 2009: Suricata не может получить настройки разгрузки при запуске в режиме без полномочий root
• Ошибка # 2012: dns.log не регистрирует неотвеченные запросы
• Ошибка # 2017: Пропущенные поля журнала EVE
• Ошибка # 2019: проблема с уклонением IPv4-защиты от дефрагментации
• Ошибка # 2022: dns: из памяти связанной памяти

Что нового в версии 3.2:

• Большие изменения:
• байпас
• предварительный фильтр - быстрые ключевые слова пакета
• Улучшения TLS
• Добавления протокола SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 для сопоставления файлов, регистрации и извлечения
• Документация Sphinx
• Видимые меньшие изменения:
• Отключение NIC по умолчанию отключено
• unix-командный сокет включен по умолчанию
• Статистика уровня приложения
• Под капотом:
• упрощение потоков (log api + больше не перезагружается поток)
• оптимизация диспетчера потоков
• упростить добавление ключевых слов
• luajit улучшает обработку памяти в больших развертываниях

Что нового в версии 3.1.2:

• Функция # 1830: поддержка тега в журнале eve
• Функция # 1870: сделать журнал flow_id более уникальным
• Функция # 1874: поддержка Cisco Fabric Path / DCE
• Функция # 1885: канун: добавьте параметр для регистрации всех отброшенных пакетов.
• Функция # 1886: dns: фильтрация выходных данных
• Ошибка # 1849: неверное предупреждение контрольной суммы ICMPv6, если присутствует Ethernet FCS.
• Ошибка # 1853: исправить dce_stub_data buffer
• Ошибка # 1854: unified2: ведение журнала помеченных пакетов не работает.
• Ошибка # 1856: устройство режима PCAP не найдено.
• Ошибка # 1858: много дублированных опций TCP / DNS искаженных данных запроса после обновления с 3.0.1 до 3.1.1
• Ошибка # 1878: dns: сбой при регистрации записей sshfp
• Ошибка # 1880: пакеты ошибок icmpv4 могут привести к пропущенному обнаружению в tcp / udp
• Ошибка # 1884: libhtp 0.5.22

Что нового в версии 3.1.1:

• Функция # 1775: Lua: поддержка SMTP
• Ошибка # 1419: проблемы с обработкой транзакций DNS.
• Ошибка # 1515: проблема с Threshold.config при использовании нескольких IP-адресов
• Ошибка # 1664: необработанные DNS-запросы не регистрируются при истечении времени ожидания
• Ошибка # 1808: не удается установить приоритет потока после удаления привилегий
• Ошибка # 1821: Suricata 3.1 не запускается на CentOS6
• Ошибка # 1839: suricata 3.1 configure.ac говорит & gt; = libhtp-0.5.5, но & gt; = libhtp-0.5.20 требуется
• Ошибка # 1840: -list-keywords и -list-app-layer-protos не работают.
• Ошибка # 1841: libhtp 0.5.21
• Ошибка # 1844: netmap: режим IPS не устанавливает 2-й iface в режиме promisc
• Ошибка # 1845: сбой при отключении протокола прикладного уровня, когда он включен.
• Оптимизация # 1846: af-пакет: улучшенная логика расчета потоков
• Оптимизация # 1847: правила: не предупреждать о пустых файлах

Что нового в версии 3.0.1:

• улучшенные параметры обнаружения, в том числе многопользовательские и xbits
• производительность и масштабируемость значительно улучшены.
• значительно улучшена точность и надежность
• Возможности сценариев Lua значительно расширены
• многие улучшения производительности, в том числе гораздо больше JSON
• Поддержка метода захвата NETMAP, особенно интересная для пользователей FreeBSD.
• Проверка SMTP и извлечение файла

Что нового в версии 3.0:

• улучшенные параметры обнаружения, включая многоуровневые и xbits
• производительность и масштабируемость значительно улучшены.
• значительно улучшена точность и надежность
• Возможности сценариев Lua значительно расширены
• многие улучшения производительности, в том числе гораздо больше JSON
• Поддержка метода захвата NETMAP, особенно интересная для пользователей FreeBSD.
• Проверка SMTP и извлечение файла

Что нового в версии 2.0.9:

• Изменения:
• Ошибка # 1385: проблема анализа трафика DCERPC.
• Ошибка # 1391: проблема с анализом http uri.
• Ошибка # 1383: проблема с окном tcp midstream
• Ошибка # 1318: проблема синхронизации потоков в streamTCP
• Ошибка # 1375: параметр регрессии в списке ключевых слов
• Ошибка # 1387: файл pcap висит на системах без поддержки атомизации.
• Ошибка # 1395: сбой команды сокета unix-сервера dump-counters
• Оптимизация # 1376: список файлов не очищается
• Безопасность:
• Проблема синтаксического анализа DCERPC связана с CVE-2015-0928.

Что нового в версии 2.0.7:

• Изменения:
• Ошибка # 1385: проблема анализа трафика DCERPC.
• Ошибка # 1391: проблема с анализом http uri.
• Ошибка # 1383: проблема с окном tcp midstream
• Ошибка # 1318: проблема синхронизации потоков в streamTCP
• Ошибка # 1375: параметр регрессии в списке ключевых слов
• Ошибка # 1387: файл pcap висит на системах без поддержки атомизации.
• Ошибка # 1395: сбой команды сокета unix-сервера dump-counters
• Оптимизация # 1376: список файлов не очищается
• Безопасность:
• Проблема синтаксического анализа DCERPC связана с CVE-2015-0928.

Что нового в версии 2.0.6:

• Ошибка # 1364: проблемы с уклонением
• Ошибка # 1337: output-json: дублирование ведения журнала
• Ошибка № 1325: обнаружение tls приводит к разрыву последовательности повторной сборки потока tcp (IPS)
• Ошибка # 1192: Suricata не компилируется в OS X / Clang из-за переопределения строковых функций.
• Ошибка # 1183: pcap: предупреждение cppcheck

Что нового в версии 2.0.5:

• Ошибка # 1190: ключевое слово http_header не соответствует, когда SYN | ACK и ACK отсутствуют
• Ошибка № 1246: выход EVE. Не работает доменный домен Unix.
• Ошибка № 1272: Segfault в libhtp 0.5.15
• Ошибка # 1298: проблема синтаксического анализа ключевого слова
• Ошибка № 1303: улучшите обнаружение «плохого окна обновления»
• Ошибка № 1304: улучшите обработку потоков с плохими значениями SACK
• Ошибка № 1305: исправить повторное использование сеанса tcp для сеансов ssh / ssl
• Ошибка № 1307: byte_extract, в комбинации не работает
• Ошибка № 1326: захват pcre pkt / flowvar для несовместных совпадений
• Ошибка # 1329: Неверное правило обрабатывается и загружается
• Ошибка № 1330: Ошибка учета потока памяти (2.0.x)

Что нового в версии 2.0.4:

• Изменения:
• Ошибка № 1276: проблема с дефрагментацией ipv6 с заголовками маршрутизации.
• Ошибка № 1278: проблема с парсером ssh banner
• Ошибка № 1254: сиг-анализ синтаксического анализа по неверному ключевому слову rev
• Ошибка # 1267: проблема с протоколом ipv6
• Ошибка № 1273: Lua - http.request_line не работает.
• Ошибка # 1284: AF_PACKET Режим IPS не регистрирует капли и поток встроенных проблем
• Безопасность:
• CVE-2014-6603

Что нового в версии 2.0.3:

• Ошибка № 1236: исправление потенциального сбоя при анализе http
• Ошибка # 1244: проблема с защитой ipv6
• Ошибка # 1238: Возможное уклонение в stream-tcp-reassemble.c
• Ошибка № 1221: нижняя таблица преобразования отсутствует последнее значение
• Поддержка # 1207: невозможно компилировать на CentOS 5 x64 с -enable-profiling
• Обновлено в комплекте libhtp до 0.5.15

Что нового в версии 2.0 RC1:

• Добавлен унифицированный вывод JSON. Улучшена обработка VLAN.
• Добавлена ​​поддержка QinQ.
• Добавлена ​​опция командной строки для переопределения параметров конфигурации.
• Улучшена обработка ICMPv6.
• Были добавлены Memcaps для обработки DNS и HTTP.
• Было сделано несколько улучшений захвата пакетов.
• Добавлен оптимизированный режим работы NSM.
• Были исправлены многие другие проблемы.

Что нового в версии 2.0 Beta 2:

• Поддержка VLAN была улучшена.
• Добавлены опции IP Defrag.
• Были добавлены опции для включения и выключения парсеров протокола.
• Улучшено обнаружение протокола.
• Улучшены IPv6.
• Проверка HTTP была улучшена.
• Расширены параметры профилирования.
• Было сделано много других изменений.

Что нового в версии 1.4.7:

<литий> Исправления:
• Ошибка № 996: ключевое слово тега: теги по тегам за время нарушено
• Ошибка № 1000: замедленное обнаружение устанавливает пороги до de_ctx
• Ошибка № 1001: проблема загрузки ip_rep с несколькими значениями для одного ip
• Ошибка # 1022: StreamTcpPseudoPacketSetupHeader: логика обмена портом не согласована.
• Ошибка # 1047: detect-engine.profile - разбор пользовательского значения
• Ошибка № 1063: упорядочение правил с несколькими vars

Что нового в версии 1.4.6:

• Ошибка 958: неверные записи SSL, приводящие к сбою. Сообщается Себастьяном Рошке. CVE-2013-5919.
• Ошибка 971: считыватель AC-образа из памяти границ прочитан.
• Ошибка 965: улучшенная обработка обратного содержимого. Сообщается Уилл Меткалф.
• Ошибка 937: исправить декодирование IPv6-in-IPv6.
• Ошибка 934: улучшите парсинг адресов.
• Ошибка 969: исправить unified2, не регистрируя помеченные пакеты.

Что нового в версии 1.4.5:

• Проблемы с IPv6 были исправлены.