Suricata

Suricata IDS / IPS-motor er multi-threaded og har native IPv6-støtte. Det er i stand til å laste inn eksisterende Snort regler og signaturer og støtter Barnyard og Barnyard2 verktøyene.

Du bør prøve Suricata fordi den er svært skalerbar, den gjenkjenner de vanligste protokollene, og den kan identifisere tusenvis av filtyper, sjekke MD5 sjekksummer og trekke ut filer fra arkiver.

Suricata er et tverrplattformsprogram som kan brukes med hell på operativsystemene GNU / Linux, BSD (FreeBSD og OpenBSD), Microsoft Windows og Mac OS X.

Programvaren distribueres kun som et kildearkiv, som må konfigureres og kompileres før installasjonen. Du kan imidlertid enkelt installere den fra standardprogramvarelagerene til Linux-distribusjonen din. Både 32-biters og 64-bits maskinvareplattformer støttes.

Den beste IDS- og IPS-programvaren basert på åpen kildekode-teknologi

Suricata er uten tvil det beste IDS-systemet (Intrusion Detection System) og IPS (Intrusion Prevention System) -programvaren som er bygget, bare drevet av åpen kildekode teknologi.

Hva er nytt i denne utgivelsen:

• Sikkerhet:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• endringer:
• Feil # 2480: http eve loggkilden / dest flip (4.0.x)
• Feil # 2482: HTTP-tilkobling: forskjell i gjenkjenningssatser mellom 3.1 og 4.0.x
• Feil # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Feil # 2532: memleak: når du bruker app-lag hendelsesregler uten rust
• Feil # 2533: Suricata gzip utpakker bypass (4.0.x)
• Feil # 2534: Suricata slutter å inspisere TCP-strøm hvis en TCP RST ble oppfylt (4.0.x)
• Feil nr. 2535: Meldinger med SC_LOG_CONFIG-nivå er logget til syslog med EMERG-prioritet (4.0.x)
• Feil # 2537: libhtp 0.5.27 (4.0.x)
• Feil # 2540: getrandom forhindrer eventuelle suricata-startkommandoer på flere senere OS-er (4.0.x)
• Feil # 2544: ssh utenom grensene leser (4.0.x)
• Feil # 2545: Enip ut av grensene lest (4.0.x)

Hva er nytt i versjon 4.0.4:

• Sikkerhet:
• CVE-2018-6794 ble forespurt for utgave # 2440
• endringer:
• Feil # 2306: suricata 4 deadlocks under mislykket utgangslogg gjenåpning
• Feil # 2361: Regel omlasting av opplasting
• Feil # 2389: BUG_ON hevder i AppLayerIncFlowCounter (4.0.x)
• Feil # 2392: libhtp 0.5.26 (4.0.x)
• Feil # 2422: [4.0.3] av_packet: en lekkasje som muligens bryter en inline-kanal
• Feil # 2438: ulike konfigurasjonsproblemer for konfigurering
• Feil # 2439: Fiks tidsstempel frakoblet når PCP-tidsstempel er null (4.0.x)
• Feil # 2440: Strøm omkoblingsproblem (4.0.x)
• Feil # 2441: der parser: dårlig input bruker cpu og minne (4.0.x)
• Feil # 2443: DNP3 memcpy buffer overflow (4.0.x)
• Feil # 2444: rust / dns: Core Dump med misdannet trafikk (4.0.x)
• Feil # 2445: http-kropper / file_data: Oppretting av tråderomskriving utenom grensene

Hva er nytt i versjon:

• Funksjon # 2245: dekoder for ieee802.1AH trafikk
• Feil # 798: stats.log i yaml config - legg til alternativ - mangler
• Feil # 891: detect-engine.profile feiler ikke ut i feilverdier - suricata.yaml
• Feil 961: Maksimal ventende pakker variabel parsing
• Feil # 1185: napatech: cppcheck advarsel
• Feil # 2215: Mistet hendelser som skriver til unix-socket
• Feil # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Feil # 2250: oppdag: mix byte_extract og isdataat fører til FP & FN
• Feil # 2263: innholdskamper ignorert når du bruker dns_query på utp trafikk
• Feil # 2274: ParseSizeString i util-misc.c: Null-pointer dereference
• Feil # 2275: ConfGetInt i conf.c: NULL-pointer dereference
• Feil # 2276: conf: NULL-pointer dereference i CoredumpLoadConfig
• Feil # 2293: regler: dybde & lt; innholdsregler ikke avvist
• Feil # 2324: segfault i http_start (4.0.x)
• Feil # 2325: Suricata segfaults på ICMP og flowintjekke (4.0.x)

Hva er nytt i versjon 4.0.1:

• Forbedret oppdagelse:
• Basert på verdifull tilbakemelding fra regjeringsteamene på nye trusler og positive teknologier, har vi lagt til og forbedret mange regelord for inspeksjon av HTTP, SSH og andre protokoller. TLS-tillegg ble bidratt av Mats Klepsland ved NorCERT, inkludert dekoding, logging og matching på TLS serienummer. I tillegg lar Suricata nå regelskribenter å spesifisere hvem som er målet i en signatur. Denne informasjonen brukes i EVE JSON-logging for å gi mer sammenheng med varsler.
• TLS forbedret, NFS lagt til:
• Mer på TLS-siden: En stor ny funksjon støtter STARTTLS i SMTP og FTP. TLS-økter vil nå bli logget i disse tilfellene. Mer godhet fra Mats Klepsland. Også, TLS-økt-gjenopptakingslogging støttes nå takket være Ray Ruvinskiys arbeid. Ytterligere TLS logging forbedringer ble gjort av Paulo Pacheco.
• NFS-dekoding, logging og filutvinning ble lagt til som en del av den eksperimentelle Rust-støtten. Les videre for mer informasjon om Rust.
• Mer EVE JSON:
• EVE er utvidet på flere måter ...
• Ved innkapslet trafikk logges både de indre og ytre IP-adressene og portene
• 'vars' anlegget logger flowbits og andre vars. Dette kan også brukes til å logge data hentet fra trafikk ved hjelp av en PCRE-setning i regler
• EVE kan nå roteres basert på tid
• EVE ble utvidet til å logge inn HTTP-forespørselen og / eller responsorganene
• Den (delvise) flytningsrekorden er lagt til i varslingsrekord.
• Innretningen 'vars' er en av de viktigste forbedringene her, så det er nå mulig for en signatur å nøyaktig trekke ut informasjon for logging. For eksempel kan en signatur trekke ut en annonsert programvareversjon eller annen informasjon som mottaker av en e-post. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Første skritt i en trygg fremtid:
• Dette er den første utgivelsen der vi har implementert deler i Rust-språket ved hjelp av Nom parser-rammen. Dette arbeidet er inspirert av Pierre Chiffliers '(ANSSI), snakk på SuriCon 2016 (pdf). Ved å kompilere med -enable-rust får du en grunnleggende NFS-parser og en re-implementering av DNS-parseren. Tilbakemelding på dette er høyt verdsatt.
• Rust-støtten er fortsatt eksperimentell, siden vi fortsetter å utforske hvordan den fungerer, utfører og hva den vil ta for å støtte den i samfunnet. I tillegg inkluderte vi Pierre Chiffliers Rust parsers arbeid. Dette bruker eksterne Rust parser 'kasser' og er aktivert ved å bruke -enable-rust-eksperimentelle. I utgangspunktet legger dette til en NTP-parser.
• Under hetten:
• En viktig oppdatering av TCP stream-motor er inkludert. Dette bør føre til bedre ytelse og mindre konfigurasjon, spesielt i IPS-modus. Første trinn i TCP GAP-gjenoppretting ble tatt, med implementeringer for DNS og NFS.
• For utviklere gjør denne utgivelsen det enklere å utvide gjenkjenningsmotoren med søkeord med høy ytelse. Hvis du legger til et nytt søkeord med høy ytelse ved hjelp av mønstermatching, krever det nå bare noen få linjer med kode.
• Dokumentasjon:
• David Wharton på SecureWorks har opprettet en del i dokumentasjonen for regelskribenter som har bakgrunn i Snort. Det dokumenterer endringer som er relevante for å skrive regler.
• Neste trinn:
• Basert på tilbakemeldingen får vi det vi forventer å utgjøre en 4.0.1 utgivelse om en måned eller så. Da starter vi arbeidet med neste store utgivelse, som er 4,1. Dette er planlagt for sen høst, ETA før SuriCon i Praha.

Hva er nytt i versjon 4.0.0:

• Forbedret oppdagelse:
• Basert på verdifull tilbakemelding fra regjeringsteamene på nye trusler og positive teknologier, har vi lagt til og forbedret mange regelord for inspeksjon av HTTP, SSH og andre protokoller. TLS-tillegg ble bidratt av Mats Klepsland ved NorCERT, inkludert dekoding, logging og matching på TLS serienummer. I tillegg lar Suricata nå regelskribenter å spesifisere hvem som er målet i en signatur. Denne informasjonen brukes i EVE JSON-logging for å gi mer sammenheng med varsler.
• TLS forbedret, NFS lagt til:
• Mer på TLS-siden: En stor ny funksjon støtter STARTTLS i SMTP og FTP. TLS-økter vil nå bli logget i disse tilfellene. Mer godhet fra Mats Klepsland. Også, TLS-økt-gjenopptakingslogging støttes nå takket være Ray Ruvinskiys arbeid. Ytterligere TLS logging forbedringer ble gjort av Paulo Pacheco.
• NFS-dekoding, logging og filutvinning ble lagt til som en del av den eksperimentelle Rust-støtten. Les videre for mer informasjon om Rust.
• Mer EVE JSON:
• EVE er utvidet på flere måter ...
• Ved innkapslet trafikk logges både de indre og ytre IP-adressene og portene
• 'vars' anlegget logger flowbits og andre vars. Dette kan også brukes til å logge data hentet fra trafikk ved hjelp av en PCRE-setning i regler
• EVE kan nå roteres basert på tid
• EVE ble utvidet til å logge inn HTTP-forespørselen og / eller responsorganene
• Den (delvise) flytningsrekorden er lagt til i varslingsrekord.
• Innretningen 'vars' er en av de viktigste forbedringene her, så det er nå mulig for en signatur å nøyaktig trekke ut informasjon for logging. For eksempel kan en signatur trekke ut en annonsert programvareversjon eller annen informasjon som mottaker av en e-post. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Første skritt i en trygg fremtid:
• Dette er den første utgivelsen der vi har implementert deler i Rust-språket ved hjelp av Nom parser-rammen. Dette arbeidet er inspirert av Pierre Chiffliers '(ANSSI), snakk på SuriCon 2016 (pdf). Ved å kompilere med -enable-rust får du en grunnleggende NFS-parser og en re-implementering av DNS-parseren. Tilbakemelding på dette er høyt verdsatt.
• Rust-støtten er fortsatt eksperimentell, siden vi fortsetter å utforske hvordan den fungerer, utfører og hva den vil ta for å støtte den i samfunnet. I tillegg inkluderte vi Pierre Chiffliers Rust parsers arbeid. Dette bruker eksterne Rust parser 'kasser' og er aktivert ved å bruke -enable-rust-eksperimentelle. I utgangspunktet legger dette til en NTP-parser.
• Under hetten:
• En viktig oppdatering av TCP stream-motor er inkludert. Dette bør føre til bedre ytelse og mindre konfigurasjon, spesielt i IPS-modus. Første trinn i TCP GAP-gjenoppretting ble tatt, med implementeringer for DNS og NFS.
• For utviklere gjør denne utgivelsen det enklere å utvide gjenkjenningsmotoren med søkeord med høy ytelse. Hvis du legger til et nytt søkeord med høy ytelse ved hjelp av mønstermatching, krever det nå bare noen få linjer med kode.
• Dokumentasjon:
• David Wharton på SecureWorks har opprettet en del i dokumentasjonen for regelskribenter som har bakgrunn i Snort. Det dokumenterer endringer som er relevante for å skrive regler.
• Neste trinn:
• Basert på tilbakemeldingene vi får vi forventer å gjøre en 4.0.1 utgivelse i en måned eller så. Da starter vi arbeidet med neste store utgivelse, som er 4,1. Dette er planlagt i slutten av høsten, ETA før SuriCon i Praha.

Hva er nytt i versjon 3.2.1:

• Funksjon # 1951: Tillat bygg uten libmagic / file
• Funksjon # 1972: SURICATA ICMPv6 ukjent type 143 for MLDv2 rapport
• Funksjon # 2010: Suricata skal bekrefte SSSE3-tilstedeværelse ved kjøretid når den er bygd med Hyperscan-støtte
• Feil nr. 467: kompilering med unittests & debug validation
• Feil # 1780: VLAN-koder blir ikke videresendt i pakkenes inline-modus
• Feil # 1827: Mpm AC mislykkes i å tildele minne
• Feil # 1843: Mpm Ac: int overflow under init
• Feil # 1887: PCAP-logg setter snaplen til -1
• Feil # 1946: kan ikke få responsinformasjon i noen situasjon
• Feil # 1973: suricata mislykkes i å starte på grunn av unix socket
• Feil # 1975: hostbits / xbits minnelekk
• Feil # 1982: tls: ugyldig rekordhendelse utløser gyldig trafikk
• Feil # 1984: http: protokolldeteksjonsproblem hvis begge sider er misdannede
• Feil # 1985: PCAP-log: mindre minnelekkasjer
• Feil # 1987: logg-PCAP: PCAP-filer opprettet med ugyldig snaplen
• Feil # 1988: tls_cert_subject feil
• Feil nr. 1989: Detektering av SMTP-protokoll er saksfølsomt
• Feil # 1991: Suricata kan ikke analysere porter: "! [1234, 1235]"
• Feil # 1997: tls-store: Feil som forårsaker Suricata å krasje
• Feil # 2001: Håndtering av uønskede DNS-svar.
• Feil nr. 2003: BUG_ON kroppen inneholder noen ganger sideeffektive kode
• Feil nr. 2004: Ugyldig beregning av hashhøst ved bruk av force-hash
• Feil # 2005: Sammenhengende størrelser mellom forespørsel, fangst og http lengde
• Feil # 2007: smb: protokolldeteksjon kontrollerer bare serveren
• Feil # 2008: Suricata 3.2, PCap-log fungerer ikke lenger på grunn av timestamp_pattern PCRE
• Feil # 2009: Suricata kan ikke laste inn innstillinger når det kjøres under ikke-rot
• Feil # 2012: dns.log logger ikke på ubesvarte spørringer
• Feil # 2017: EVE-logg manglende felt
• Feil # 2019: IPv4-defragmentproblemer
• Feil # 2022: dns: Utgående minne leses

Hva er nytt i versjon 3.2:

• Store endringer:
• bypass
• forhåndsfilter - hurtigpakkeord
• TLS forbedringer
• SCADA / ICS-protokolltilskudd: DNP3 CIP / ENIP
• SHA1 / SHA256 for filmatching, logging og utvinning
• Sfinks dokumentasjon
• Synlige mindre endringer:
• NIC-avlasting deaktivert som standard
• Unix-kommandoen er aktivert som standard
• Applagsstatistikk
• Under hetten:
• forenkling av tråden (logg api + ikke flere tråder starter på nytt)
• optimalisering av strømstyring
• forenkle legge til søkeord
• Luajit forbedringer med minnehåndtering i store distribusjoner

Hva er nytt i versjon 3.1.2:

• Funksjon # 1830: støtte 'tag' i eve log
• Funksjon # 1870: Gjør logg flow_id mer unik
• Funksjon # 1874: Støt Cisco Fabric Path / DCE
• Funksjon # 1885: eve: legg til alternativ for å logge alle tapt pakker
• Funksjon # 1886: dns: utdatafiltrering
• Feil # 1849: Feil kontrollvarselsvarsel ICMPv6 hvis Ethernet FCS er til stede
• Feil # 1853: reparer dce_stub_data buffer
• Feil # 1854: unified2: logging av merkede pakker som ikke virker
• Feil # 1856: PCAP-modusenhet ble ikke funnet
• Feil # 1858: Massevis av TCP 'duplisert alternativ / DNS misformet forespørseldata' etter oppgradering fra 3.0.1 til 3.1.1
• Feil # 1878: dns: krasj mens du logger på sshfp-poster
• Feil # 1880: Feilpakker for ICMPV4 kan føre til feil gjenkjenning i TCP / UDP
• Feil # 1884: libhtp 0.5.22

Hva er nytt i versjon 3.1.1:

• Funksjon # 1775: Lua: SMTP-støtte
• Feil nr. 1419: problemer med behandling av DNS-transaksjoner
• Feil # 1515: Problem med Threshold.config når du bruker mer enn en IP
• Feil # 1664: Urepliserte DNS-spørringer ikke logget når strømmen er alderen ute
• Feil # 1808: Kan ikke angi trådsprioritet etter å ha slettet privilegier
• Feil # 1821: Suricata 3.1 mislykkes i å starte på CentOS6
• Feil # 1839: suricata 3.1 configure.ac sier & gt; = libhtp-0.5.5, men & gt; = libhtp-0.5.20 kreves
• Feil # 1840: -list-søkeord og -list-app-lag-protoer virker ikke
• Feil # 1841: libhtp 0.5.21
• Feil # 1844: netkart: IPS-modus angir ikke 2. iface i promisc-modus
• Feil # 1845: Krasj ved å deaktivere en applagsprotokoll når loggeren fortsatt er aktivert
• Optimalisering # 1846: av-pakke: forbedre trådberegningslogikken
• Optimalisering # 1847: Regler: Ikke advarsel om tomme filer

Hva er nytt i versjon 3.0.1:

• forbedrede gjenkjenningsalternativer, inkludert multi-tenancy og xbits
• ytelse og skalerbarhet mye forbedret
• mye bedre nøyaktighet og robusthet
• Skanningskapasiteten i Lua utvidet seg betydelig
• Mange forbedringer, inkludert mye mer JSON
• NETMAP-opptaksmetode, spesielt interessant for FreeBSD-brukere
• SMTP inspeksjon og filutvinning

Hva er nytt i versjon 3.0:

• forbedrede gjenkjenningsalternativer, inkludert multi-tenancy og xbits
• ytelse og skalerbarhet mye forbedret
• mye bedre nøyaktighet og robusthet
• Skanningskapasiteten i Lua utvidet seg betydelig
• Mange forbedringer, inkludert mye mer JSON
• NETMAP-opptaksmetode, spesielt interessant for FreeBSD-brukere
• SMTP inspeksjon og filutvinning

Hva er nytt i versjon 2.0.9:

• endringer:
• Feil # 1385: DCERPC trafikkparsing problem
• Feil nr. 1391: Feilsøkingsproblemet
• Feil # 1383: tcp midtproblem i vinduet
• Feil # 1318: Et trådsynkroniseringsproblem i streamTCP
• Feil # 1375: Regresseringer i listeordvalg
• Feil # 1387: PCAP-filen henger på systemer uten atomstøtte
• Feil # 1395: Feilsøkingsfeil for Uni-socket-kommandoen
• Optimalisering # 1376: Fillisten er ikke ryddet opp
• Sikkerhet:
• Analyseproblemet i DCERPC har CVE-2015-0928 tildelt det.

Hva er nytt i versjon 2.0.7:

• Endringer:
• Feil # 1385: DCERPC trafikkparsing problem
• Feil nr. 1391: Feilsøkingsproblemet
• Feil # 1383: tcp midtproblem i vinduet
• Feil # 1318: Et trådsynkroniseringsproblem i streamTCP
• Feil # 1375: Regresseringer i listeordvalg
• Feil # 1387: PCAP-filen henger på systemer uten atomstøtte
• Feil # 1395: Feilsøkingsfeil for Uni-socket-kommandoen
• Optimalisering # 1376: Fillisten er ikke ryddet opp
• Sikkerhet:
• Analyseproblemet i DCERPC har CVE-2015-0928 tildelt det.

Hva er nytt i versjon 2.0.6:

• Feil # 1364: evasion problemer
• Feil # 1337: output-json: duplikat logging
• Feilfeil 1325: tls deteksjon fører til tcp stream reassembly sequence gap (IPS)
• Feil # 1192: Suricata kompilerer ikke på OS X / Clang på grunn av redefinisjon av strengfunksjoner
• Feil # 1183: PCAP: cppcheck-advarsel

Hva er nytt i versjon 2.0.5:

• Feil # 1190: http_header søkeordet samsvarer ikke når SYN | ACK og ACK mangler
• Feil nr. 1246: EVE-utgang Unix-domenet fungerer ikke
• Feil # 1272: Segfault i libhtp 0.5.15
• Feil nr. 1298: Filestore søkeordsparsing problemet
• Feil # 1303: forbedrer gjenkjenningen av "dårlig vinduoppdatering"
• Feil # 1304: bedre strømhåndtering av dårlige SACK-verdier
• Feil # 1305: reparer tcp økt gjenbruk for ssh / ssl økter
• Feil # 1307: byte_extract, i kombinasjon som ikke virker
• Feil # 1326: PCre pkt / flowvar fangst ødelagt for ikke-relative kamper
• Feil # 1329: Ugyldig regel blir behandlet og lastet
• Feil # 1330: Feilbokføring feil (2.0.x)

Hva er nytt i versjon 2.0.4:

• endringer:
• Feil # 1276: ipv6 defrag problem med rutingsoverskrifter
• Feil # 1278: ssh banner parser problemet
• Feil # 1254: Signparsing på feilformet rev søkeord
• Feil nr. 1267: problemet med ipv6-logging
• Feil # 1273: Lua - http.request_line fungerer ikke
• Feil nr. 1284: AF_PACKET IPS-modus ikke logging faller og streame inline problem
• Sikkerhet:
• CVE-2014-6603

Hva er nytt i versjon 2.0.3:

• Feil nr. 1236: fikse potensiell krasj i http-parsing
• Feil # 1244: ipv6 defrag problemet
• Feil nr. 1238: Mulig unnvikelse i stream-tcp-reassemble.c
• Feil nr. 1221: liten konverteringstabel mangler siste verdi
• Støtte # 1207: Kan ikke kompilere på CentOS 5 x64 med -bar profilering
• Oppdatert pakket libhtp til 0.5.15

Hva er nytt i versjon 2.0 RC1:

• Samlet JSON-utgang ble lagt til. VLAN-håndtering ble forbedret.
• QinQ-støtte ble lagt til.
• Et kommandolinjealternativ for overordnede konfigurasjonsinnstillinger ble lagt til.
• ICMPv6-håndtering ble forbedret.
• Memcaps for DNS og HTTP-håndtering ble lagt til.
• Flere forbedringer av pakkeopptak ble gjort.
• En optimalisert NSM runmode ble lagt til.
• Mange andre problemer ble løst.

Hva er nytt? i versjon 2.0 Beta 2:

• VLAN-støtten ble forbedret.
• IP Defrag-alternativer ble lagt til.
• Alternativer ble lagt til for å aktivere og deaktivere protokollparsere.
• Protokoll gjenkjenning ble forbedret.
• IPv6 forbedringer ble gjort.
• HTTP-inspeksjon ble forbedret.
• Profileringsalternativene ble utvidet.
• Mange flere endringer ble gjort.

Hva er nytt i versjon 1.4.7:

• Fixes:
• Feil # 996: tag søkeord: tagging økter per tid er ødelagt
• Feil # 1000: forsinket detekteringsgrensesnitt før de_ctx
• Feil # 1001: ip_rep laster opp problem med flere verdier for en enkelt ip
• Feil # 1022: StreamTcpPseudoPacketSetupHeader: Port swap logic er ikke konsistent
• Feil # 1047: detect-engine.profile - brudd på tilpasset verdi parsing
• Feil # 1063: regelbestilling med flere vars

Hva er nytt i versjon 1.4.6:

• Feil 958: misforstått SSL-poster som fører til krasj. Rapportert av Sebastian Roschke. CVE-2013-5919.
• Feil 971: AC-mønsterkompatibilitet uten måleavlesning.
• Feil 965: Forbedre negert innholdshåndtering. Rapportert av Will Metcalf.
• Feil 937: reparer IPv6-i-IPv6-dekoding.
• Feil 934: forbedre adresseparsing.
• Feil 969: reparer unified2 ikke logging merkede pakker.

Hva er nytt i versjon 1.4.5:

• IPv6-problemer ble løst.