Suricata

Suricata IDS / IPS je vícevláknová a má nativní podporu IPv6. Je schopen načíst stávající pravidla a podpisy Snort a podporuje nástroje Barnyard a Barnyard2.

Měli byste zkusit Suricata, protože je vysoce škálovatelný, rozpozná nejčastější protokoly a dokáže identifikovat tisíce typů souborů, kontrolovat kontrolní součet MD5 a extrahovat soubory z archivů.

Suricata je aplikace s více platformami, která může být úspěšně použita na operačních systémech GNU / Linux, BSD (FreeBSD a OpenBSD), operačních systémech Microsoft Windows a Mac OS X.

Software je distribuován pouze jako zdrojový archiv, který musí být před instalací konfigurován a kompilován. Můžete ji však snadno nainstalovat z výchozích softwarových úložišť distribuce Linuxu. Podporovány jsou jak 32bitové, tak 64bitové hardwarové platformy.

Nejlepší software IDS a IPS založený na technologiích s otevřeným zdrojovým kódem

Suricata je bezesporu nejlepším softwarem IDS (Intrusion Detection System) a softwarem IPS (Intrusion Prevention System), který byl kdy stavěn, poháněný pouze technologiemi s otevřeným zdrojovým kódem.

Co je nového v této verzi:

• Zabezpečení:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Změny:
• Chyba # 2480: http zdroj datového zdroje protokolu / dest flip (4.0.x)
• Chyba # 2482: připojení HTTP: rozdíl v mírách zjišťování mezi 3.1 a 4.0.x
• Chyba # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Chyba # 2532: memleak: při použití pravidel událostí vrstvy aplikace bez použití rezivitosti
• Chyba # 2533: Obejití Surcata gzip unpacker (4.0.x)
• Chyba # 2534: Suricata přestane kontrolovat tok protokolu TCP, pokud byl splněn protokol TCP RST (4.0.x)
• Chyba # 2535: Zprávy s úrovní SC_LOG_CONFIG jsou zaznamenány do syslog s prioritou EMERG (4.0.x)
• Chyba # 2537: libhtp 0.5.27 (4.0.x)
• Chyba # 2540: getrandom zabraňuje všem příkazům startu suricata na pozdějších operačních systémech (4.0.x)
• Chyba # 2544: ssh mimo hranice čtení (4.0.x)
• Chyba # 2545: vypustit hranice čtení (4.0.x)

Co je nového ve verzi 4.0.4:

• Bezpečnost:
• CVE-2018-6794 byl požádán o vydání # 2440
• Změny:
• Chyba # 2306: suricata 4 zablokování při neúspěšném opuštění protokolu protokolu
• Chyba # 2361: zrušení přerušení pravidly
• Chyba # 2389: BUG_ON tvrdí v aplikaci AppLayerIncFlowCounter (4.0.x)
• Chyba # 2392: libhtp 0.5.26 (4.0.x)
• Chyba # 2422: [4.0.3] af_packet: únik, který (případně) přeruší vložený kanál
• Chyba # 2438: různé problémy s analýzou konfigurace
• Chyba # 2439: Oprava časové značky offline, když je časová značka pcap nula (4.0.x)
• Chyba # 2440: Problém s bypassem proudového motoru (4.0.x)
• Chyba # 2441: der parser: špatný vstup spotřebuje procesor a paměť (4.0.x)
• Chyba # 2443: Přetečení vyrovnávací paměti DNP3 memcpy (4.0.x)
• Chyba # 2444: rust / dns: Jádrový dump s špatným provozem (4.0.x)
• Chyba # 2445: http bodies / file_data: vytváření podprocesů mimo hranice

Co je nového ve verzi:

• Funkce # 2245: dekodér pro provoz ieee802.1AH
• Chyba # 798: stats.log v yaml config - připojit možnost - chybí
• Chyba # 891: detekce-engine.profile nesprávně nesprávně - suricata.yaml
• Chyba # 961: prokládané proměnné s proměnlivými pakety
• Chyba # 1185: napatch: varování cppcheck
• Chyba # 2215: Ztracené události zapisují do zásuvky Unix
• Chyba # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Chyba # 2250: detekce: míchání byte_extract a isdataat vede k FP & FN
• Chyba # 2263: Při ignorování obsahu dns_query na datovém provozu
• Chyba # 2274: ParseSizeString v util-misc.c: Dereference null-pointer
• Chyba # 2275: ConfGetInt v conf.c: dereference ukazatele NULL
• Chyba # 2276: conf: NULL-dereference ukazatele v CoredumpLoadConfig
• Chyba # 2293: pravidla: hloubka & lt; pravidla obsahu nebyla zamítnuta
• Chyba # 2324: segfault v http_start (4.0.x)
• Chyba # 2325: Surikata segfaults na protokolu ICMP a průtoku (4.0.x)

Co je nového ve verzi 4.0.1:

• Zlepšená detekce:
• Na základě cenné zpětné vazby od týmů, které vytvářejí pravidla na Emerging Threats and Positive Technologies, jsme přidali a vylepšili mnoho klíčových slov pro pravidla pro kontrolu HTTP, SSH a dalších protokolů. Přírůstky TLS přispěl Mats Klepsland v NorCERT, včetně dekódování, protokolování a porovnávání sériových čísel TLS. Navíc Suricata nyní umožňuje spisovatelům pravidel určit, kdo je cílem v podpisu. Tyto informace se používají při protokolování EVE JSON a poskytují více kontextu se záznamy.
• TLS se zlepšil, přidal NFS:
• Více na straně TLS: Hlavní novinkou je podpora STARTTLS v SMTP a FTP. V těchto případech budou nyní zaznamenány relace TLS. Více dobrotu od Mats Klepslandu. Také protokolování obnovení relace TLS je nyní podporováno díky práci Ray Ruvinského. Další vylepšení protokolování TLS provedl Paulo Pacheco.
• NFS dekódování, protokolování a extrakce souborů bylo přidáno jako součást experimentální podpory Rust. Přečtěte si další informace o Rustu.
• Více EVE JSON:
• EVE je rozšířena několika způsoby ...
• v případě zapouzdřené komunikace jsou zaznamenány vnitřní i vnější adresy IP a porty
• Zařízení vars zaznamenává průtoky a další vary. To lze také použít pro protokolování dat získaných z provozu pomocí příkazu PCRE v pravidlech
• EVE nyní může být otočena podle času
• EVE byla rozšířena o volbu protokolu HTTP a / nebo tělesa odpovědí
• záznam záznamu (částečného) toku je přidán k výstrah záznamů.
• Zařízení "vars" je jedním z hlavních vylepšení, protože je nyní možné, aby podpis přesně získal informace pro protokolování. Například podpis může extrahovat inzerovanou verzi softwaru nebo jiné informace, například příjemce e-mailu. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• První krok do bezpečnější budoucnosti:
• Toto je první verze, ve které jsme implementovali součásti v jazyce Rust pomocí parseru Nom. Tato práce je inspirována Pierrem Chiffliersem (ANSSI), mluvit na SuriCon 2016 (pdf). Kompilací s -enable-rust získáte základní analyzátor NFS a re-implementaci analyzátoru DNS. Tato zpětná vazba je velmi ceněná.
• Podpora Rustu je stále experimentální, protože i nadále zkoumáme, jak funguje, funguje a co bude potřebovat, aby ji podpořila v komunitě. Kromě toho jsme zahrnovali práci Pierre Chiffliers Rust parsers. Používá se externí skříně analyzátoru Rust a je aktivována pomocí -enable-rust-experimental. Zpočátku to přidá analyzátor NTP.
• Pod kapucí:
• K dispozici je velká aktualizace TCP streamu. To by mělo vést k lepšímu výkonu a menší konfiguraci, zejména v režimu IPS. Byly provedeny první kroky v obnovení TCP GAP s implementacemi pro DNS a NFS.
• Pro vývojáře tato verze rozšiřuje detekční motor o klíčová slova s ​​vysokým výkonem mnohem jednodušší. Přidání nového vysoce výkonného klíčového slova pomocí přizpůsobení více vzorků nyní vyžaduje pouze několik řádků kódu.
• Dokumentace:
• David Wharton v SecureWorks vytvořil sekci v dokumentaci pro spisovatele pravidel, kteří mají pozadí v programu Snort. Dokumentuje změny, které jsou důležité pro psaní pravidel.
• Další kroky:
• Na základě zpětné vazby, které dostaneme, očekáváme vydání verze 4.0.1 za měsíc nebo tak. Pak začneme pracovat na dalším velkém vydání, které je 4.1. To je plánováno na pozdní podzim, ETA před SuriCon v Praze.

Co je nového ve verzi 4.0.0:

• Zlepšená detekce:
• Na základě cenné zpětné vazby od týmů, které vytvářejí pravidla na Emerging Threats and Positive Technologies, jsme přidali a vylepšili mnoho klíčových slov pro pravidla pro kontrolu HTTP, SSH a dalších protokolů. Přírůstky TLS přispěl Mats Klepsland v NorCERT, včetně dekódování, protokolování a porovnávání sériových čísel TLS. Navíc Suricata nyní umožňuje spisovatelům pravidel určit, kdo je cílem v podpisu. Tyto informace se používají při protokolování EVE JSON a poskytují více kontextu se záznamy.
• TLS se zlepšil, přidal NFS:
• Více na straně TLS: Hlavní novinkou je podpora STARTTLS v SMTP a FTP. V těchto případech budou nyní zaznamenány relace TLS. Více dobrotu od Mats Klepslandu. Také protokolování obnovení relace TLS je nyní podporováno díky práci Ray Ruvinského. Další vylepšení protokolování TLS provedl Paulo Pacheco.
• NFS dekódování, protokolování a extrakce souborů bylo přidáno jako součást experimentální podpory Rust. Přečtěte si další informace o Rustu.
• Více EVE JSON:
• EVE je rozšířena několika způsoby ...
• v případě zapouzdřené komunikace jsou zaznamenány vnitřní i vnější adresy IP a porty
• Zařízení vars zaznamenává průtoky a další vary. To lze také použít pro protokolování dat získaných z provozu pomocí příkazu PCRE v pravidlech
• EVE nyní může být otočena podle času
• EVE byla rozšířena o volbu protokolu HTTP a / nebo tělesa odpovědí
• záznam záznamu (částečného) toku je přidán k výstrah záznamů.
• Zařízení "vars" je jedním z hlavních vylepšení, protože je nyní možné, aby podpis přesně získal informace pro protokolování. Například podpis může extrahovat inzerovanou verzi softwaru nebo jiné informace, například příjemce e-mailu. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• První krok do bezpečnější budoucnosti:
• Toto je první verze, ve které jsme implementovali součásti v jazyce Rust pomocí parseru Nom. Tato práce je inspirována Pierrem Chiffliersem (ANSSI), mluvit na SuriCon 2016 (pdf). Kompilací s -enable-rust získáte základní analyzátor NFS a re-implementaci analyzátoru DNS. Tato zpětná vazba je velmi ceněná.
• Podpora Rustu je stále experimentální, protože i nadále zkoumáme, jak funguje, funguje a co bude potřebovat, aby ji podpořila v komunitě. Kromě toho jsme zahrnovali práci Pierre Chiffliers Rust parsers. Používá se externí skříně analyzátoru Rust a je aktivována pomocí -enable-rust-experimental. Zpočátku to přidá analyzátor NTP.
• Pod kapucí:
• K dispozici je velká aktualizace TCP streamu. To by mělo vést k lepšímu výkonu a menší konfiguraci, zejména v režimu IPS. Byly provedeny první kroky v obnovení TCP GAP s implementacemi pro DNS a NFS.
• Pro vývojáře tato verze rozšiřuje detekční motor o klíčová slova s ​​vysokým výkonem mnohem jednodušší. Přidání nového vysoce výkonného klíčového slova pomocí přizpůsobení více vzorků nyní vyžaduje pouze několik řádků kódu.
• Dokumentace:
• David Wharton v SecureWorks vytvořil sekci v dokumentaci pro spisovatele pravidel, kteří mají pozadí v programu Snort. Dokumentuje změny, které jsou důležité pro psaní pravidel.
• Další kroky:
• Na základě zpětné vazby, které dostaneme, očekáváme vydání verze 4.0.1 za měsíc nebo tak. Pak začneme pracovat na dalším velkém vydání, které je 4.1. To je plánováno na pozdní podzim, ETA před SuriCon v Praze.

Co je nového ve verzi 3.2.1:

• Funkce # 1951: Povolit stavbu bez libmagic / souboru
• Funkce # 1972: Neznámý typ SURICATA ICMPv6 143 pro zprávu MLDv2
• Funkce # 2010: Suricata by měla potvrzovat přítomnost SSSE3 při běhu při vytváření podpory Hyperscan
• Chyba # 467: kompilace s unittests & debug validation
• Chyba # 1780: Značky VLAN nejsou přesměrovány v režimu in-line afpacket
• Chyba # 1827: Mpm AC se nepodaří přidělit paměť
• Chyba # 1843: Mpm Ac: int přetečení během init
• Chyba # 1887: Soubory pcap-log se zaplní na -1
• Chyba # 1946: v některých situacích nelze získat informace o odezvě
• Chyba # 1973: suricata se nezdaří kvůli zásuvce Unix
• Chyba # 1975: únik paměti paměti hostbits / xbits
• Chyba # 1982: tls: nesprávná událost záznamu spouští platnou provoz
• Chyba # 1984: http: chyba detekce protokolu, pokud jsou obě strany poškozeny
• Chyba # 1985: pcap-log: menší úniky paměti
• Chyba # 1987: log-pcap: soubory pcap vytvořené s neplatným snaplenem
• Chyba # 1988: chyba tls_cert_subject
• Chyba # 1989: detekce protokolu SMTP rozlišuje velká a malá písmena
• Chyba # 1991: Suricata nemůže analyzovat porty: "! [1234, 1235]"
• Chyba # 1997: tls-store: chyba, která způsobuje, že Suricata se zhrotila
• Chyba # 2001: Vyřizování nevyžádaných odpovědí DNS.
• Chyba # 2003: BUG_ON tělo někdy obsahuje vedlejší kód
• Chyba # 2004: Neplatný výpočet hash souboru při použití hash síly
• Chyba # 2005: Nesouvislé velikosti mezi žádostí, zachycením a délkou http
• Chyba # 2007: smb: detekce protokolu pouze kontroluje server
• Chyba # 2008: Suricata 3.2, pcap-log již nefunguje kvůli timestamp_pattern PCRE
• Chyba # 2009: Suricata není schopna stáhnout nastavení při spouštění pod jinou než root
• Chyba # 2012: dns.log nezaznamenává nezodpovězené dotazy
• Chyba # 2017: Chybějící pole protokolu EVE
• Chyba # 2019: Vynechání defragmentace pomocí protokolu IPv4
• Chyba # 2022: dns: z vázané paměti čtěte

Co je nového ve verzi 3.2:

• Velké změny:
• bypass
• předfilter - rychlé klíčové slovo paketu
• Vylepšení TLS
• Přidání protokolu SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 pro shodu, protokolování a extrakci souborů
• Dokumentace sfingy
• Viditelné menší změny:
• Ve výchozím nastavení je vybíjení NIC zakázáno
• soket příkazu unix ve výchozím nastavení
• Statistika vrstvy aplikace
• Pod kapotou:
• Zjednodušení závitů (protokol api + restartování nulového vlákna)
• optimalizace správce toku
• Zjednodušte přidání klíčových slov
• vylepšení vylepšení paměti WRT ve velkých nasazení

Co je nového ve verzi 3.1.2:

• Funkce č. 1830: podpora 'tag' ve vstupním záznamu
• Funkce # 1870: zpřístupní flow_id více unikátní
• Funkce # 1874: podpora Cisco Fabric Path / DCE
• Funkce # 1885: eve: přidat možnost protokolovat všechny vynechané pakety
• Funkce # 1886: dns: výstupní filtrování
• Chyba # 1849: Chyba chybného kontrolního součtu ICMPv6, pokud je přítomen Ethernet FCS
• Chyba # 1853: opravit vyrovnávací paměť dce_stub_data
• Chyba # 1854: unified2: protokolování označených paketů nefunguje
• Chyba # 1856: Zařízení PCAP nebylo nalezeno
• Chyba # 1858: Spousta duplicitní volby TCP / DNS chybových požadavků po upgradu z verze 3.0.1 na 3.1.1
• Chyba # 1878: dns: selhání při přihlašování sshfp záznamů
• Chyba # 1880: Pakety o chybě icmpv4 mohou vést ke ztrátě detekce v tcp / udp
• Chyba # 1884: libhtp 0.5.22

Co je nového ve verzi 3.1.1:

• Funkce # 1775: Lua: podpora SMTP
• Chyba # 1419: Problémy při zpracování transakcí DNS
• Chyba # 1515: Problém s Threshold.config při použití více než jednoho IP
• Chyba # 1664: Neodstraněné dotazy DNS nebyly zaznamenány, když tok dat vypršel
• Chyba # 1808: Nelze nastavit prioritu podprocesu po zrušení oprávnění
• Chyba # 1821: Suricata 3.1 se nezdaří na serveru CentOS6
• Chyba # 1839: suricata 3.1 configure.ac říká & gt; = libhtp-0.5.5, ale> = libhtp-0.5.20 požadováno
• Chyba # 1840: -list-klíčová slova a -list-app-layer-protos nefungují
• Chyba # 1841: libhtp 0.5.21
• Chyba # 1844: netmap: režim IPS nenastaví 2. iface v režimu promisku
• Chyba # 1845: Chyba při zakázání protokolu vrstvy aplikace, když je protokol stále zapnutý
• Optimalizace # 1846: af-paket: vylepšení logiky výpočtu vlákna
• Optimalizace # 1847: pravidla: neupozorňujte na prázdné soubory

Co je nového ve verzi 3.0.1:

• vylepšené možnosti detekce, včetně multi-nájemného a xbits
• výkon a škálovatelnost mnohem lepší
• mnohem lepší přesnost a robustnost
• Funkce skriptování Lua se výrazně rozšířily
• mnoho vylepšení výstupu, včetně mnohem více JSON
• Podpora metody nahrávání NETMAP, zvláště zajímavá pro uživatele FreeBSD
• Inspekce SMTP a extrakce souborů

Co je nového ve verzi 3.0:

• li>
• výkon a škálovatelnost mnohem lepší
• mnohem lepší přesnost a robustnost
• Funkce skriptování Lua se výrazně rozšířily
• mnoho vylepšení výstupu, včetně mnohem více JSON
• Podpora metody nahrávání NETMAP, zvláště zajímavá pro uživatele FreeBSD
• Inspekce SMTP a extrakce souborů

Co je nového ve verzi 2.0.9:

• Změny:
• Chyba # 1385: Problém s analýzou provozu DCERPC
• Chyba # 1391: Problémy s analýzou http uri
• Chyba # 1383: problém s oknem v okně tcp
• Chyba # 1318: Problém se synchronizací vlákna v streamTCP
• Chyba # 1375: Možnosti regresí v seznamu klíčových slov
• Chyba # 1387: soubor pcap visí na systémech bez podpory atomic
• Chyba # 1395: selhání příkazu dump-counters unix socket
• Optimalizace # 1376: seznam souborů není vyčištěn
• Zabezpečení:
• Přiřazení problému DCERPC při analýze má CVE-2015-0928.

Co je nového ve verzi 2.0.7:

Co je nového ve verzi 2.0.6:

• Chyba # 1364: problémy s únikem
• Chyba # 1337: výstup-json: duplicitní protokolování
• Chyba č. 1325: detekce tls vede k meziprocesorům sekvence pro opětovné sestavení toku tcp (IPS)
• Chyba # 1192: Suricata nekompiluje na OS X / Clang kvůli nové definici řetězcových funkcí
• Chyba # 1183: pcap: upozornění cppcheck

Co je nového ve verzi 2.0.5:

• | Chybí ACK a ACK
• Chyba # 1246: Výstup EVE Unix doména socket nefunguje
• Chyba # 1272: Segfault v libhtp 0.5.15
• Chyba # 1298: Problém s analýzou klíčového slova Filestore
• Chyba # 1303: vylepšení detekce chybných aktualizací streamu streamu
• Chyba # 1304: zlepšit zacházení s proudy špatných hodnot SACK
• Chyba # 1305: oprava opětovného použití relace tcp pro ssh / ssl relace
• Chyba # 1307: byte_extract, v kombinaci nefunguje
• Chyba # 1326: chyba pkt pkt / flowvar porušena pro nerelativní vztahy
• Chyba # 1329: Zpracování a načtení neplatného pravidla
• Chyba č. 1330: Chyba účetní kontroly výdajů (2.0.x)

Co je nového ve verzi 2.0.4:

• Změny:
• Chyba # 1276: problém defragmentace protokolu ipv6 s hlavičkami směrování
• Problém s chybou # 1278: ssh banner parser
• Chyba # 1254: chyba při analýze chybných klíčů rev
• Chyba # 1267: problém při protokolování protokolu ipv6
• Chyba # 1273: Lua - http.request_line nefunguje
• Chyba # 1284: AF_PACKET Režim IPS nezaznamenává kapky a neprovádí vložené problémy
• Zabezpečení:
• CVE-2014-6603

Co je nového ve verzi 2.0.3:

• Chyba # 1236:
• Chyba # 1244: problém s defragmentací ipv6
• Chyba # 1238: Možné vyhýbání se streamu-tcp-reassemble.c
• Chyba # 1221: Malá konverzní tabulka chybí poslední hodnota
• Podpora # 1207: Nelze kompilovat na CentOS 5 x64 s -enable-profiling
• Aktualizováno libhtp na 0.5.15

Co je nového ve verzi 2.0 RC1:

• Jednotný výstup JSON byl přidán. Manipulace s VLAN byla vylepšena.
• Byla přidána podpora QinQ.
• Byla přidána volba příkazové řádky pro přepsání konfiguračních nastavení.
• Zlepšení správy ICMPv6.
• Byly přidány mezery pro manipulaci s DNS a HTTP.
• Bylo provedeno několik vylepšení zachycení paketů.
• Byla přidána optimalizovaná runmode NSM.
• Byla opravena řada dalších problémů.

Co je nového ve verzi 2.0 Beta 2:

• Byly přidány možnosti defragmentace IP.
• Možnosti byly přidány pro povolení a zakázání parserů protokolu.
• Detekce protokolu byla vylepšena.
• Byla provedena vylepšení protokolu IPv6.
• Byla vylepšena kontrola protokolu HTTP.
• Možnosti profilování byly rozbaleny.
• Bylo provedeno mnohem více změn.

Co je nového ve verzi 1.4.7:

• Opravy:
• Chyba # 996: klíčové slovo tagu: relace tagování za čas jsou porušeny
• Chyba # 1000: zpoždění detekuje počáteční prahové hodnoty před de_ctx
• Chyba # 1001: ip_rep načítání problému s více hodnotami pro jeden ip
• Chyba # 1022: StreamTcpPseudoPacketSetupHeader: logická swapová logika není konzistentní
• Chyba # 1047: detekce-engine.profile - rozbalená analýza vlastní hodnoty
• Chyba # 1063: uspořádání pravidel s vícenásobnými vary

Co je nového ve verzi 1.4.6:

• Chyba 958: Oznámil Sebastian Roschke. CVE-2013-5919.
• Chyba 971: Zachycovač vzorků AC mimo hranice čtení.
• Chyba 965: zlepšení vyloučení obsahu. Oznámil Will Metcalf.
• Chyba 937: oprava dekódování IPv6-in-IPv6.
• Chyba 934: vylepšení parsování adres.
• Chyba 969: Opravit unified2 ne logování označených paketů.

Co je nového ve verzi 1.4.5: