Suricata

Motorul IDS / IPS din Suricata este multi-threaded și are suport IPv6 nativ. Este capabil să încarce regulile și semnăturile Snort existente și acceptă instrumentele Barnyard și Barnyard2.

Ar trebui să încercați Suricata deoarece este foarte scalabilă, recunoaște cele mai comune protocoale și poate identifica mii de tipuri de fișiere, verifică sumele de control MD5 și extrage fișiere din arhive.

Suricata este o aplicație cross-platform care poate fi utilizată cu succes pe sistemele de operare GNU / Linux, BSD (FreeBSD și OpenBSD), Microsoft Windows și Mac OS X.

Software-ul este distribuit doar ca o arhivă sursă, care trebuie să fie configurată și compilată înainte de instalare. Cu toate acestea, îl puteți instala cu ușurință din depozitele de software implicite ale distribuției dvs. Linux. Atât platformele hardware pe 32 de biți cât și cele pe 64 de biți sunt acceptate.

Cel mai bun software IDS și IPS bazat pe tehnologii open source

Suricata este fără îndoială cel mai bun software IDS (Sistem de detectare a intruziunilor) și software IPS (Intrusion Prevention System) construit vreodată, alimentat doar de tehnologiile open source.

Ce este nou în această versiune:

• Securitate:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Modificări:
• Bug # 2480: sursă de date log / http flip (4.0.x)
• Bug # 2482: conexiunea HTTP: diferența în ratele de detecție între 3.1 și 4.0.x
• Bug # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Bug # 2532: memleak: când se utilizează reguli de eveniment de tip app-uri fără rugină
• Bug # 2533: Bypass-ul unic de gripare Suricata (4.0.x)
• Bug # 2534: Suricata oprește inspectarea fluxului TCP dacă a fost îndeplinită o RST TCP (4.0.x)
• Bug # 2535: Mesajele cu nivel SC_LOG_CONFIG sunt înregistrate în syslog cu prioritatea EMERG (4.0.x)
• Bug # 2537: libhtp 0.5.27 (4.0.x)
• Bug # 2540: getrandom împiedică orice comenzi suricate de pornire pe mai multe sisteme de operare mai târziu (4.0.x)
• Bug # 2544: ssh în afara limitelor citite (4.0.x)
• Bug # 2545: enip din limitele citite (4.0.x)

Ce este nou în versiunea 4.0.4:

• Securitate:
• CVE-2018-6794 a fost solicitat pentru eliberarea # 2440
• Modificări:
• Bug # 2306: suricata 4 blocări în timpul redenumării nereușite a jurnalului de ieșire
• Bug # 2361: suspendarea reîncărcării regulilor
• Bug # 2389: BUG_ON afirmă în AppLayerIncFlowCounter (4.0.x)
• Bug # 2392: libhtp 0.5.26 (4.0.x)
• Bug # 2422: [4.0.3] af_packet: o scurgere care (eventual) rupe un canal inline
• Bug # 2438: diverse probleme de analiză a configurației
• Bug # 2439: Fixarea timestampului offline atunci când timestampul pcap este zero (4.0.x)
• Bug # 2440: problema de bypass al motorului de flux (4.0.x)
• Bug # 2441: der parser: intrarea necorespunzătoare consumă CPU și memorie (4.0.x)
• Bug # 2443: Overflow de buffer tampon DNP3 (4.0.x)
• Bug # 2444: rust / dns: Dump Core cu trafic malformat (4.0.x)
• Bug # 2445: http bodies / file_data: creare de spațiu de scriere în afara limitelor

Ce este nou în versiune:

• Caracteristica # 2245: decodor pentru traficul ieee802.1AH
• Bug # 798: stats.log în yaml config - opțiune adăugare - lipsă
• Bug # 891: detect-engine.profile nu eroare în valori incorecte - suricata.yaml
• Bug # 961: parsarea variabilelor pachetelor în așteptare
• Bug # 1185: avertizare de tip napatech: cppcheck
• Bug # 2215: Evenimentele pierdute scriu în socket unix
• Bug # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Bug # 2250: detectarea: amestecarea byte_extract și isdataat duce la FP & FN
• Bug # 2263: potrivirea conținutului este ignorată atunci când se utilizează dns_query pentru traficul udp
• Bug # 2274: ParseSizeString în util-misc.c: Dereferență null-pointer
• Bug # 2275: configetInt în conf.c: dereference de pointer NULL
• Bug # 2276: conf: Dereferența NULL-pointer în CoredumpLoadConfig
• Bug # 2293: reguli: adâncime & lt; regulile de conținut nu au fost respinse
• Bug # 2324: segfault în http_start (4.0.x)
• Bug # 2325: Suricata segfaults la verificarea ICMP și flowint (4.0.x)

Ce este nou în versiunea 4.0.1:

• Detecție îmbunătățită:
• Pe baza feedback-ului valoros de la echipele de scriere a regulilor la Amenințări emergente și tehnologii pozitive, am adăugat și am îmbunătățit multe cuvinte cheie pentru controlul HTTP, SSH și a altor protocoale. Adăugările TLS au fost contribuite de Mats Klepsland la NorCERT, incluzând decodificarea, înregistrarea și potrivirea numerelor de serie TLS. În plus, Suricata permite scriitorilor de reguli să specifice cine este ținta într-o semnătură. Această informație este utilizată în logarea EVE JSON pentru a oferi mai mult context cu alertele.
• TLS îmbunătățit, adăugat NFS:
• Mai multe în partea TLS: O caracteristică nouă importantă este suportul pentru STARTTLS în SMTP și FTP. În aceste cazuri, sesiunile TLS vor fi înregistrate acum. Mai multă bunătate din partea lui Mats Klepsland. De asemenea, logarea pentru reluarea sesiunii TLS este acum susținută datorită activității lui Ray Ruvinskiy. Îmbunătățirile adiționale de înregistrare TLS au fost efectuate de Paulo Pacheco.
• Decodificarea NFS, logarea și extragerea fișierelor au fost adăugate ca parte a suportului experimental Rust. Citiți mai departe pentru mai multe informații despre Rust.
• Mai mult EVE JSON:
• EVE este extinsă în mai multe moduri ...
• în cazul traficului încapsulat, ambele adrese IP și porturi interne și externe sunt înregistrate
• instalația "var" înregistrează bobinele de curgere și alte vărsări. Acest lucru poate fi de asemenea folosit pentru logarea datelor extrase din trafic folosind o instrucțiune PCRE în reguli
• EVE poate fi acum rotit pe baza timpului
• EVE a fost extins pentru a loga opțional solicitarea HTTP și / sau organismele de răspuns
• înregistrarea fluxului (parțial) este adăugată la înregistrările de avertizare.
• Facilitatea "vars" este una dintre principalele îmbunătățiri aici, deoarece acum este posibil ca o semnătură să obțină cu precizie informații pentru logare. De exemplu, o semnătură poate extrage o versiune de software publicată sau alte informații, cum ar fi destinatarul unui e-mail. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Primul pas într-un viitor mai sigur:
• Aceasta este prima ediție în care am implementat părți în limbajul Rust folosind parserul Nom. Această lucrare este inspirată de Pierre Chiffliers (ANSSI), vorbind la SuriCon 2016 (pdf). Prin compilarea cu -enable-rust veți obține un parser NFS de bază și o re-implementare a parserului DNS. Feedbackul cu privire la acest lucru este foarte apreciat.
• Suportul pentru rugină este încă experimental, deoarece continuăm să explorăm modul în care funcționează, efectuează și ce va fi nevoie pentru ao susține în comunitate. În plus, am inclus Pierre Chiffliers Rust work parsers. Aceasta folosește "cutii externe" ale parserului extern și este activată prin utilizarea -enable-rust-experimental. Inițial, acesta adaugă un parser NTP.
• Sub Hood:
• Este inclusă o actualizare majoră a motorului TCP. Acest lucru ar trebui să conducă la o performanță mai bună și la o mai mică configurație, în special în modul IPS. Au fost luați primii pași în recuperarea TCP GAP, cu implementări pentru DNS și NFS.
• Pentru dezvoltatori, această versiune face ca extinderea motorului de detectare cu cuvinte cheie de înaltă performanță să fie mult mai ușoară. Adăugarea unui nou cuvânt cheie de înaltă performanță utilizând potrivirea mai multor modele necesită acum doar câteva linii de cod.
• Documentation:
• David Wharton de la SecureWorks a creat o secțiune în documentația pentru scriitorii de reguli care au un background în Snort. Documentarea modificărilor relevante pentru scrierea regulilor.
• Pașii următori:
• Pe baza feedback-ului pe care il primim, ne asteptam sa facem o versiune de 4.0.1 intr-o luna sau cam asa ceva. Apoi vom începe să lucrăm la următoarea lansare majoră, care este de 4.1. Acest lucru este planificat spre sfârșitul toamnei, ETA înainte de SuriCon din Praga.

Ce este nou în versiunea 4.0.0:

• Detecție îmbunătățită:
• Pe baza feedback-ului valoros de la echipele de scriere a regulilor la Amenințări emergente și tehnologii pozitive, am adăugat și am îmbunătățit multe cuvinte cheie pentru controlul HTTP, SSH și a altor protocoale. Adăugările TLS au fost contribuite de Mats Klepsland la NorCERT, incluzând decodificarea, înregistrarea și potrivirea numerelor de serie TLS. În plus, Suricata permite scriitorilor de reguli să specifice cine este ținta într-o semnătură. Această informație este utilizată în logarea EVE JSON pentru a oferi mai mult context cu alertele.
• TLS îmbunătățit, adăugat NFS:
• Mai multe în partea TLS: O caracteristică nouă importantă este suportul pentru STARTTLS în SMTP și FTP. În aceste cazuri, sesiunile TLS vor fi înregistrate acum. Mai multă bunătate din partea lui Mats Klepsland. De asemenea, logarea pentru reluarea sesiunii TLS este acum susținută datorită activității lui Ray Ruvinskiy. Îmbunătățirile adiționale de înregistrare TLS au fost efectuate de Paulo Pacheco.
• Decodificarea NFS, logarea și extragerea fișierelor au fost adăugate ca parte a suportului experimental Rust. Citiți mai departe pentru mai multe informații despre Rust.
• Mai mult EVE JSON:
• EVE este extinsă în mai multe moduri ...
• în cazul traficului încapsulat, ambele adrese IP și porturi interne și externe sunt înregistrate
• instalația "var" înregistrează bobinele de curgere și alte vărsări. Acest lucru poate fi de asemenea folosit pentru logarea datelor extrase din trafic folosind o instrucțiune PCRE în reguli
• EVE poate fi acum rotit pe baza timpului
• EVE a fost extins pentru a loga opțional solicitarea HTTP și / sau organismele de răspuns
• înregistrarea fluxului (parțial) este adăugată la înregistrările de avertizare.
• Facilitatea "vars" este una dintre principalele îmbunătățiri aici, deoarece acum este posibil ca o semnătură să obțină cu precizie informații pentru logare. De exemplu, o semnătură poate extrage o versiune de software publicată sau alte informații, cum ar fi destinatarul unui e-mail. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Primul pas într-un viitor mai sigur:
• Aceasta este prima ediție în care am implementat părți în limbajul Rust folosind parserul Nom. Această lucrare este inspirată de Pierre Chiffliers (ANSSI), vorbind la SuriCon 2016 (pdf). Prin compilarea cu -enable-rust veți obține un parser NFS de bază și o re-implementare a parserului DNS. Feedbackul cu privire la acest lucru este foarte apreciat.
• Suportul pentru rugină este încă experimental, deoarece continuăm să explorăm modul în care funcționează, efectuează și ce va fi nevoie pentru ao susține în comunitate. În plus, am inclus Pierre Chiffliers Rust work parsers. Aceasta folosește "cutii externe" ale parserului extern și este activată prin utilizarea -enable-rust-experimental. Inițial, acesta adaugă un parser NTP.
• Sub Hood:
• Este inclusă o actualizare majoră a motorului TCP. Acest lucru ar trebui să conducă la o performanță mai bună și la o mai mică configurație, în special în modul IPS. Au fost luați primii pași în recuperarea TCP GAP, cu implementări pentru DNS și NFS.
• Pentru dezvoltatori, această versiune face ca extinderea motorului de detectare cu cuvinte cheie de înaltă performanță să fie mult mai ușoară. Adăugarea unui nou cuvânt cheie de înaltă performanță utilizând potrivirea mai multor modele necesită acum doar câteva linii de cod.
• Documentation:
• David Wharton de la SecureWorks a creat o secțiune în documentația pentru scriitorii de reguli care au un background în Snort. Documentarea modificărilor relevante pentru scrierea regulilor.
• Pașii următori:
• Pe baza feedback-ului pe care il primim, ne asteptam sa facem o versiune de 4.0.1 intr-o luna sau cam asa ceva. Apoi vom începe să lucrăm la următoarea lansare majoră, care este de 4.1. Acest lucru este planificat spre sfârșitul toamnei, ETA înainte de SuriCon din Praga.

Ce este nou în versiunea 3.2.1:

• Caracteristica # 1951: Permiteți construirea fără libmagic / fișier
• Caracteristica # 1972: SURICATA ICMPv6 tip necunoscut 143 pentru raportul MLDv2
• Caracteristica # 2010: Suricata ar trebui să confirme prezența SSSE3 în timpul execuției atunci când a fost construită cu ajutorul suportului Hyperscan
• Bug # 467: compilație cu testări unitare și validare de depanare
• Bug # 1780: etichetele VLAN nu sunt redirecționate în modul inline afpacket
• Bug # 1827: Mpm AC nu reușește să aloce memoria
• Bug # 1843: Mpm Ac: int overflow în timpul init
• Bug # 1887: seturile de pcap-log se închid la -1
• Bug # 1946: nu pot obține informații despre răspuns în anumite situații
• Bug # 1973: suricata nu pornește din cauza soclului unix
• Bug # 1975: scurgeri de memorie hostbits / xbits
• Bug # 1982: tls: declanșează un eveniment de înregistrare invalid pe un trafic valid
• Bug # 1984: http: problema de detectare a protocolului dacă ambele părți sunt malformate
• Bug # 1985: pcap-log: scurgeri de memorie minore
• Bug # 1987: log-pcap: fișierele pcap create cu un snaplen invalid
• Bug # 1988: bug tls_cert_subject
• Bug # 1989: Detecția protocolului SMTP este sensibilă la minuscule
• Bug # 1991: Suricata nu poate parsa porturi: "! [1234, 1235]"
• Bug # 1997: tls-store: eroare care provoacă prăbușirea Suricata
• Bug # 2001: Gestionarea răspunsurilor DNS nesolicitate.
• Bug # 2003: corpul BUG_ON conține uneori cod lateral
• Bug # 2004: Calculul hash al fisierului nevalid atunci cand se foloseste hash-ul de forta
• Bug # 2005: Dimensiuni incoerente între cerere, captură și lungime http
• Bug # 2007: smb: detecția protocolului verifică doar serverul
• Bug # 2008: Suricata 3.2, pcap-log nu mai funcționează din cauza timestamp_pattern PCRE
• Bug # 2009: Suricata nu poate descărca setările când rulează sub non-root
• Bug # 2012: dns.log nu înregistrează interogările fără răspuns
• Bug # 2017: Câmpurile EVE lipsă din jurnal
• Bug # 2019: problema evaziunii defragmentării prin IPv4
• Bug # 2022: DNS: din memorie limitată citiți

Ce este nou în versiunea 3.2:

• Schimbări mari:
• by-pass
• pre-filtrare - cuvinte cheie rapide de pachete
• Îmbunătățiri TLS
• Adăugări de protocol SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 pentru potrivirea, logarea și extragerea fișierelor
• Documentația pentru sfinx
• Modificări vizibile mai mici:
• descărcarea NIC în mod implicit
• caseta de comandă unix activată implicit
• Statisticile stratului de aplicații
• Sub capotă:
• Simplificarea filetului (log api + restartarea firului)
• optimizarea managerului fluxurilor
• simplificați adăugarea cuvintelor cheie
• îmbunătățiri de îmbunătățire a gestionării memoriei wrt în implementări mari

Ce este nou în versiunea 3.1.2:

• Caracteristica # 1830: Suportul "tag" în jurnalul de intrare
• Caracteristica # 1870: face logged flow_id mai unic
• Caracteristica # 1874: suport Cisco Fabric Path / DCE
• Caracteristică # 1885: eve: adăugați opțiunea pentru înregistrarea tuturor pachetelor abandonate
• Caracteristica # 1886: DNS: filtrarea rezultatelor
• Bug # 1849: Avertizare sumară de control ICMPv6 dacă este prezentă Ethernet FCS
• Bug # 1853: remediați tamponul dce_stub_data
• Bug # 1854: unified2: logarea pachetelor etichetate nu funcționează
• Bug # 1856: dispozitivul PCAP nu a fost găsit
• Bug # 1858: O mulțime de date duplicate de opțiune TCP / DNS cu cerere de eroare "după actualizarea de la 3.0.1 la 3.1.1
• Bug # 1878: DNS: crash în timpul înregistrării înregistrărilor sshfp
• Bug # 1880: pachetele de eroare icmpv4 pot duce la detectarea ratată în tcp / udp
• Bug # 1884: libhtp 0.5.22

Ce este nou în versiunea 3.1.1:

• Caracteristică # 1775: Lua: SMTP-support
• Bug # 1419: Probleme de tratare a tranzacțiilor DNS
• Bug # 1515: Problema cu Threshold.config când se utilizează mai multe IP
• Bug # 1664: Interogările DNS nerecvate nu au fost înregistrate atunci când debitul a expirat
• Bug # 1808: Nu se poate seta prioritatea firului după abandonarea privilegiilor
• Bug # 1821: Suricata 3.1 nu reușește să pornească pe CentOS6
• Bug # 1839: suricata 3.1 configure.ac spune & gt; = libhtp-0.5.5, dar> = libhtp-0.5.20 este necesar
• Bug # 1840: -list-cuvinte-cheie și -list-app-layer-protos nu funcționează
• Bug # 1841: libhtp 0.5.21
• Bug # 1844: netmap: Modul IPS nu stabilește 2o iface în modul promisc
• Bug # 1845: Crash la dezactivarea protocolului de aplicație atunci când loggerul este încă activat
• Optimizarea # 1846: af-packet: îmbunătățirea logicii de calcul al firului
• Optimizare # 1847: reguli: nu avertizați pe fișierele goale

Ce este nou în versiunea 3.0.1:

• opțiuni de detectare îmbunătățite, inclusiv multi-locație și xbits
• performanța și scalabilitatea îmbunătățite mult
• o precizie și robustețe mult îmbunătățite
• Capabilitățile de scriere Lua s-au extins semnificativ
• multe îmbunătățiri de ieșire, inclusiv mult mai multe JSON
• Suportul metodei de captare NETMAP, interesant în special pentru utilizatorii FreeBSD
• Inspecția SMTP și extragerea fișierelor

Ce este nou în versiunea 3.0:

• opțiuni îmbunătățite de detectare, inclusiv multi-închiriere și xbits
• performanța și scalabilitatea îmbunătățite mult
• o precizie și robustețe mult îmbunătățite
• Capabilitățile de scriere Lua s-au extins semnificativ
• multe îmbunătățiri de ieșire, inclusiv mult mai multe JSON
• Suportul metodei de captare NETMAP, interesant în special pentru utilizatorii FreeBSD
• Inspecția SMTP și extragerea fișierelor

Ce este nou în versiunea 2.0.9:

• Modificări:
• Bug # 1385: Problemă de analiză a traficului DCERPC
• Bug # 1391: problema de parcurgere http uri
• Bug # 1383: tcp problemă fereastră intermediară
• Bug # 1318: O problemă de sincronizare a thread-ului în streamTCP
• Bug # 1375: Opțiunile de regresie din lista de cuvinte cheie
• Bug # 1387: fișierul pcap se blochează pe sisteme fără suport atomic
• Bug # 1395: dump-counters eșec comanda unix socket
• Optimizarea # 1376: lista fișierelor nu este curățată
• Securitate:
• Problema de analiză DCERPC a fost atribuită CVE-2015-0928.

Ce este nou în versiunea 2.0.7:

Ce este nou în versiunea 2.0.6:

• Bug # 1364: probleme de evaziune
• Bug # 1337: output-json: logare duplicat
• Detectarea bug-ului # 1325: tls duce la decalajul secvenței de reasamblare a fluxului de tcp (IPS)
• Bug # 1192: Suricata nu se compilează pe OS X / Clang datorită redefinării funcțiilor de șir
• Bug # 1183: pcap: avertizare cppcheck

Ce este nou în versiunea 2.0.5:

• Bug # 1190: | ACK și ACK lipsesc
• Bug # 1246: Ieșirea EVE din EVE nu funcționează
• Bug # 1272: Segfault în libhtp 0.5.15
• Bug # 1298: Problemă de analiză a cuvintelor cheie cu Filestore
• Bug # 1303: Îmbunătățirea procesului de detectare rapidă a ferestrelor "
• Bug # 1304: îmbunătățirea manipulării în flux a valorilor SACK rău
• Bug # 1305: reparați reutilizarea sesiunii tcp pentru sesiunile ssh / ssl
• Bug # 1307: byte_extract, în combinație nu funcționează
• Bug # 1326: captură pkt pkt / flowvar ruptă pentru potriviri non-relative
• Bug # 1329: Regulă nevalidă care este procesată și încărcată
• Bug # 1330: Eroare de contabilitate în memoria fluxului (2.0.x)

Ce este nou în versiunea 2.0.4:

• Modificări:
• Bug # 1276: problema de defragmentare ipv6 cu anteturi de rutare
• Bug # 1278: problema parserului ssh banner
• Bug # 1254: crash sig parsing pe cuvântul cheie malformat rev
• Bug # 1267: problema cu înregistrarea ipv6
• Bug # 1273: Lua - http.request_line nu funcționează
• Modul Bug # 1284: AF_PACKET IPS nu înregistrează drops și streaming inline issue
• Securitate:
• CVE-2014-6603

Ce este nou în versiunea 2.0.3:

• Bug # 1236:
• Bug # 1244: problema defragmentării ipv6
• Bug # 1238: Evaziunea posibilă în stream-tcp-reassemble.c
• Bug # 1221: tabelul de conversie cu litere mici, lipsind ultima valoare
• Suportul # 1207: Nu se poate compila pe CentOS 5 x64 cu -enable-profiling
• Actualizat libhtp inclus în 0.5.15

Ce este nou în versiunea 2.0 RC1:

• Ieșirea JSON unificată a fost adăugată. Manipularea VLAN a fost îmbunătățită.
• Suportul QinQ a fost adăugat.
• A fost adăugată o opțiune pentru linia de comandă pentru setările de configurare de suprasolicitare.
• Manipularea ICMPv6 a fost îmbunătățită.
• Au fost adăugate memc-uri pentru manipularea DNS și HTTP.
• Au fost făcute mai multe îmbunătățiri de captare a pachetelor.
• A fost adăugat un mod de lucru optimizat NSM.
• Au fost rezolvate multe alte probleme.

Ce este nou în versiunea 2.0 Beta 2:

Ce este nou în versiunea 1.4.7:

• Fixat:
• Bug # 996: cuvântul cheie etichetat: sesiunile de etichetare pe timp sunt rupte
• Bug # 1000: întârzierea detectării pragurilor de inițializare înaintea de_ctx
• Bug # 1001: problemă de încărcare ip_rep cu mai multe valori pentru un singur ip
• Bug # 1022: StreamTcpPseudoPacketSetupHeader: logica de swap port nu este consistentă
• Bug # 1047: detect-engine.profile - analiza valorii personalizate ruptă
• Bug # 1063: comandarea regulilor cu mai multe vars

Ce este nou în versiunea 1.4.6:

• Bug 958: Raportat de Sebastian Roschke. CVE-2013-5919.
• Bug 971: Măsurarea șablonului de ieșire din memorie nu este citită.
• Bug 965: îmbunătățirea manipulării conținutului negat. Raportat de Will Metcalf.
• Bug 937: remediați decodificarea IPv6-in-IPv6.
• Bug 934: îmbunătățirea parsingului adreselor.
• Bug 969: remediați unified2 nu logging packets tagged.

Ce este nou în versiunea 1.4.5: