Suricata

Suricata's IDS / IPS-motor er multi-threaded og har native IPv6-understøttelse. Det er i stand til at indlæse eksisterende Snort regler og signaturer og understøtter Barnyard og Barnyard2 værktøjer.

Du bør prøve Suricata, fordi den er meget skalerbar, den genkender de fleste almindelige protokoller, og den kan identificere tusindvis af filtyper, tjekke MD5 checksum og udpakke filer fra arkiver.

Suricata er et tværplatformsprogram, der kan bruges med succes på GNU / Linux, BSD (FreeBSD og OpenBSD), Microsoft Windows og Mac OS X operativsystemer.

Softwaren distribueres kun som et kildearkiv, som skal konfigureres og kompileres forud for installationen. Du kan dog nemt installere det fra de standard software repositories af din Linux distribution. Både 32-bit og 64-bit hardware platforme understøttes.

Den bedste IDS- og IPS-software baseret på open source-teknologier

Suricata er uden tvivl det bedste IDS (Intrusion Detection System) og IPS (Intrusion Prevention System) software, der nogensinde er bygget, og drives kun af open source-teknologier.

Hvad er nyt i denne udgave:

• Sikkerhed:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Ændringer:
• Fejl # 2480: http eve log datakilde / dest flip (4.0.x)
• Fejl # 2482: HTTP-forbindelse: Forskel i detektionshastigheder mellem 3.1 og 4.0.x
• Fejl # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Fejl # 2532: memleak: Når du bruger app-layer arrangement regler uden rust
• Fejl # 2533: Suricata gzip udpakker bypass (4.0.x)
• Fejl # 2534: Suricata stopper inspektion af TCP-strøm, hvis en TCP RST blev opfyldt (4.0.x)
• Fejl # 2535: Meddelelser med SC_LOG_CONFIG niveau logges til syslog med EMERG prioritet (4.0.x)
• Fejl # 2537: libhtp 0.5.27 (4.0.x)
• Fejl # 2540: getrandom forhindrer eventuelle suricata startkommandoer på flere senere OS'er (4.0.x)
• Fejl # 2544: ssh uden for grænserne læses (4.0.x)
• Bug # 2545: Enip out of bounds read (4.0.x)

Hvad er nyt i version 4.0.4:

• Sikkerhed:
• CVE-2018-6794 blev anmodet om udgave # 2440
• Ændringer:
• Bug # 2306: suricata 4 deadlocks under mislykket output log genåbning
• Fejl # 2361: Regel genindlæs hangup
• Fejl # 2389: BUG_ON hævder i AppLayerIncFlowCounter (4.0.x)
• Fejl # 2392: libhtp 0.5.26 (4.0.x)
• Fejl # 2422: [4.0.3] af_packet: en lækage, der muligvis bryder en inline-kanal
• Fejl # 2438: forskellige konfigurationsproblemer
• Bug # 2439: Fix timestamp offline, når PCP-tidsstempel er nul (4.0.x)
• Fejl # 2440: stream omstillingsproblem (4.0.x)
• Fejl # 2441: der parser: dårlig input forbruger cpu og hukommelse (4.0.x)
• Fejl # 2443: DNP3 memcpy buffer overløb (4.0.x)
• Bug # 2444: rust / dns: Core Dump med fejlformet trafik (4.0.x)
• Fejl # 2445: http-legemer / file_data: oprettelse af trådrumsrum uden for grænserne

Hvad er nyt i version:

• Funktion # 2245: dekoder til ieee802.1AH trafik
• Bug # 798: stats.log i yaml config - tilføj option - mangler
• Fejl nr. 891: detect-engine.profile fejler ikke i forkerte værdier - suricata.yaml
• Fejl 961: Maksimal ventende pakker variabel parsing
• Fejl # 1185: napatech: cppcheck advarsel
• Fejl # 2215: Mistede begivenheder, der skriver til unix-stikket
• fejl # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Fejl # 2250: detekter: mix byte_extract og isdataat fører til FP & FN
• Fejl # 2263: indholdskampe ignoreres, når du bruger dns_query på udp-trafik
• Fejl # 2274: ParseSizeString i util-misc.c: Null-pointer dereference
• Fejl # 2275: ConfGetInt i conf.c: NULL-pointer dereference
• Fejl # 2276: conf: NULL-pointer dereference i CoredumpLoadConfig
• Fejl # 2293: regler: dybde & lt; indholdsregler ikke afvist
• Fejl # 2324: segfault i http_start (4.0.x)
• Fejl # 2325: Suricata segfaults på ICMP og flowint check (4.0.x)

Hvad er nyt i version 4.0.1:

• Forbedret opdagelse:
• Baseret på værdifulde tilbagemeldinger fra regeringsskriverholdene på nye trusler og positive teknologier har vi tilføjet og forbedret mange regelsøgeord for inspektion af HTTP, SSH og andre protokoller. TLS-tilføjelser blev bidraget af Mats Klepsland hos NorCERT, herunder dekodning, logning og matching på TLS serienumre. Derudover giver Suricata nu regelskribenter mulighed for at angive, hvem der er målet i en underskrift. Denne information bruges i EVE JSON logging for at give mere sammenhæng med advarsler.
• TLS forbedret, NFS tilføjet:
• Mere på TLS-siden: En stor ny funktion understøtter STARTTLS i SMTP og FTP. TLS-sessioner vil nu blive logget i disse tilfælde. Mere godhed fra Mats Klepsland. Endvidere understøttes TLS-sessionens genoptagelseslogning takket være Ray Ruvinskiys arbejde. Yderligere TLS logging forbedringer blev udført af Paulo Pacheco.
• NFS-dekodning, logning og filudvinding blev tilføjet som led i den eksperimentelle Rust-understøttelse. Læs videre for mere information om Rust.
• Mere EVE JSON:
• EVE er udvidet på flere måder ...
• I tilfælde af indkapslet trafik logges både de indre og ydre ip-adresser og porte
• 'vars' faciliteten logger flowbits og andre vars. Dette kan også bruges til at logge data udtaget fra trafik ved hjælp af en PCRE-erklæring i regler
• EVE kan nu drejes baseret på tid
• EVE blev udvidet til eventuelt at logge HTTP-anmodningen og / eller reaktionsorganerne
• Den (delvise) strømningsoptegnelse tilføjes til advarselsposter.
• Faciliteten er en af ​​de vigtigste forbedringer her, da det nu er muligt for en underskrift at præcis udtrække information til logning. En underskrift kan f.eks. Udtrække en annonceret softwareversion eller anden information såsom modtageren af ​​en e-mail. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Første skridt i en sikrere fremtid:
• Dette er den første udgivelse, hvor vi har implementeret dele i Rust-sproget ved hjælp af Nom parser-rammen. Dette værk er inspireret af Pierre Chiffliers '(ANSSI), tale på SuriCon 2016 (pdf). Ved at kompilere med -enable-rust får du en grundlæggende NFS-parser og en re-implementering af DNS-parseren. Tilbagemelding herom er meget værdsat.
• Rust-støtten er stadig eksperimentel, da vi fortsætter med at undersøge, hvordan den fungerer, udfører og hvad den vil tage for at støtte den i samfundet. Derudover inkluderede vi Pierre Chiffliers Rust parsers arbejde. Dette bruger eksterne Rust parser 'kasser' og aktiveres ved hjælp af -enable-rust-eksperimentelle. I første omgang tilføjer dette en NTP-parser.
• Under hætten:
• En vigtig TCP stream engine opdatering er inkluderet. Dette bør føre til bedre ydeevne og mindre konfiguration, især i IPS-tilstand. Første trin i TCP GAP recovery blev taget med implementeringer til DNS og NFS.
• For udviklere gør denne udgivelse det meget lettere at udvide detektionsmaskinen med højtydende søgeord. Tilføjelse af et nyt højtydende søgeord ved brug af multimønster-matching kræver nu kun nogle få linjer kode.
• Dokumentation:
• David Wharton på SecureWorks har oprettet en sektion i dokumentationen til regelskribenter, der har en baggrund i Snort. Det dokumenterer ændringer, der er relevante for skrivningsregler.
• Næste trin:
• På baggrund af feedbacken får vi det, vi forventer at udgive en 4.0.1-udgave i løbet af en måned eller deromkring. Så starter vi arbejdet med den næste store udgave, som er 4,1. Dette er planlagt til efterår, ETA før SuriCon i Prag.

Hvad er nyt i version 4.0.0:

• Forbedret opdagelse:
• Baseret på værdifulde tilbagemeldinger fra regeringsskriverholdene på nye trusler og positive teknologier har vi tilføjet og forbedret mange regelsøgeord for inspektion af HTTP, SSH og andre protokoller. TLS-tilføjelser blev bidraget af Mats Klepsland hos NorCERT, herunder dekodning, logning og matching på TLS serienumre. Derudover giver Suricata nu regelskribenter mulighed for at angive, hvem der er målet i en underskrift. Denne information bruges i EVE JSON logging for at give mere sammenhæng med advarsler.
• TLS forbedret, NFS tilføjet:
• Mere på TLS-siden: En stor ny funktion understøtter STARTTLS i SMTP og FTP. TLS-sessioner vil nu blive logget i disse tilfælde. Mere godhed fra Mats Klepsland. Endvidere understøttes TLS-sessionens genoptagelseslogning takket være Ray Ruvinskiys arbejde. Yderligere TLS logging forbedringer blev udført af Paulo Pacheco.
• NFS-dekodning, logning og filudvinding blev tilføjet som led i den eksperimentelle Rust-understøttelse. Læs videre for mere information om Rust.
• Mere EVE JSON:
• EVE er udvidet på flere måder ...
• I tilfælde af indkapslet trafik logges både de indre og ydre ip-adresser og porte
• 'vars' faciliteten logger flowbits og andre vars. Dette kan også bruges til at logge data udtaget fra trafik ved hjælp af en PCRE-erklæring i regler
• EVE kan nu drejes baseret på tid
• EVE blev udvidet til eventuelt at logge HTTP-anmodningen og / eller reaktionsorganerne
• Den (delvise) strømningsoptegnelse tilføjes til advarselsposter.
• Faciliteten er en af ​​de vigtigste forbedringer her, da det nu er muligt for en underskrift at præcis udtrække information til logning. En underskrift kan f.eks. Udtrække en annonceret softwareversion eller anden information såsom modtageren af ​​en e-mail. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Første skridt i en sikrere fremtid:
• Dette er den første udgivelse, hvor vi har implementeret dele i Rust-sproget ved hjælp af Nom parser-rammen. Dette værk er inspireret af Pierre Chiffliers '(ANSSI), tale på SuriCon 2016 (pdf). Ved at kompilere med -enable-rust får du en grundlæggende NFS-parser og en re-implementering af DNS-parseren. Tilbagemelding herom er meget værdsat.
• Rust-støtten er stadig eksperimentel, da vi fortsætter med at undersøge, hvordan den fungerer, udfører og hvad den vil tage for at støtte den i samfundet. Derudover inkluderede vi Pierre Chiffliers Rust parsers arbejde. Dette bruger eksterne Rust parser 'kasser' og aktiveres ved hjælp af -enable-rust-eksperimentelle. I første omgang tilføjer dette en NTP-parser.
• Under hætten:
• En vigtig TCP stream engine opdatering er inkluderet. Dette bør føre til bedre ydeevne og mindre konfiguration, især i IPS-tilstand. Første trin i TCP GAP recovery blev taget med implementeringer til DNS og NFS.
• For udviklere gør denne udgivelse det meget lettere at udvide detektionsmaskinen med højtydende søgeord. Tilføjelse af et nyt højtydende søgeord ved brug af multimønster-matching kræver nu kun nogle få linjer kode.
• Dokumentation:
• David Wharton på SecureWorks har oprettet en sektion i dokumentationen til regelskribenter, der har en baggrund i Snort. Det dokumenterer ændringer, der er relevante for skrivningsregler.
• Næste trin:
• På baggrund af feedbacken får vi det, vi forventer at udgive en 4.0.1-udgave i løbet af en måned eller deromkring. Så starter vi arbejdet med den næste store udgave, som er 4,1. Dette er planlagt til efterår, ETA før SuriCon i Prag.

Hvad er nyt i version 3.2.1:

• Funktion # 1951: Tillad bygning uden libmagic / file
• Funktion # 1972: SURICATA ICMPv6 ukendt type 143 for MLDv2 rapport
• Funktion # 2010: Suricata skal bekræfte SSSE3-tilstedeværelse ved kørsel, når den er bygget med Hyperscan-support
• Fejl # 467: kompilering med unittests & debug validation
• Fejl # 1780: VLAN-tags sendes ikke i pakken inline-tilstand
• Fejl # 1827: Mpm AC undlader at allokere hukommelse
• Fejl # 1843: Mpm Ac: int overløb under init
• Fejl # 1887: PCAP-log sætter snaplen til -1
• Fejl # 1946: kan ikke få svarinfo i en situation
• Fejl nr. 1973: suricata undlader at starte på grund af unix socket
• Fejl # 1975: hostbits / xbits hukommelselækage
• Bug # 1982: tls: ugyldig rekordhændelse udløser gyldig trafik
• Fejl nr. 1984: http: protokoldetektionsproblem, hvis begge sider er misdannede
• Fejl nr. 1985: PCAP-log: mindre hukommelselækager
• Bug # 1987: log-pcap: PCAP-filer oprettet med ugyldig snaplen
• Fejl # 1988: tls_cert_subject fejl
• Fejl nr. 1989: Detektering af SMTP-protokollet er højst følsomt
• Fejl # 1991: Suricata kan ikke analysere porte: "! [1234, 1235]"
• Fejl # 1997: tls-store: Fejl, der forårsager Suricata at kollidere
• Fejl # 2001: Håndtering af uopfordrede DNS-svar.
• Fejl nr. 2003: BUG_ON organ indeholder nogle gange sideløbende kode
• Fejl nr. 2004: Ugyldig beregning af hash, når der bruges force-hash
• Fejl # 2005: Sammenhængende størrelser mellem anmodning, optagelse og http-længde
• Fejl # 2007: smb: protokolldetektion kontrollerer kun serveren
• Fejl nr. 2008: Suricata 3.2, pcap-log fungerer ikke længere på grund af timestamp_pattern PCRE
• Fejl # 2009: Suricata kan ikke afløse indstillinger, når de køres under ikke-root
• Fejl # 2012: dns.log logger ikke på ubesvarede forespørgsler
• Fejl # 2017: EVE Log manglende felter
• Fejl nr. 2019: IPv4 defragmenteringsproblem
• Fejl # 2022: dns: læsning uden for bunden

Hvad er nyt i version 3.2:

• Store ændringer:
• bypass
• pre-filter - hurtige pakkesøgeord
• TLS forbedringer
• SCADA / ICS protokol tilføjelser: DNP3 CIP / ENIP
• SHA1 / SHA256 til fil matching, logging & ekstraktion
• Sphinx dokumentation
• Synlige mindre ændringer:
• NIC-aflæsning er deaktiveret som standard
• Unix-kommandoen er aktiveret som standard
• Applagsstatistik
• Under hætten:
• Threading simplification (log api + ikke mere genstart)
• optimering af flowmanager
• Forenkle tilføjelse af søgeord
• Udvidede forbedringer med hensyn til hukommelseshåndtering i store implementeringer

Hvad er nyt i version 3.1.2:

• Funktion # 1830: support 'tag' i eve log
• Funktion # 1870: gør logget flow_id mere unik
• Funktion # 1874: Støt Cisco Fabric Path / DCE
• Funktion # 1885: eve: Tilføj mulighed for at logge alle tabte pakker
• Funktion # 1886: dns: outputfiltrering
• Fejl # 1849: ICMPv6 forkerte checksumvarsling, hvis Ethernet FCS er til stede
• Fejl # 1853: Fix dce_stub_data buffer
• Fejl # 1854: Unified2: Logging af taggete pakker fungerer ikke
• Fejl # 1856: PCAP-tilstandsenhed blev ikke fundet
• Fejl # 1858: Masser af TCP 'dupliceret indstilling / DNS-misformet forespørgselsdata' efter opgradering fra 3.0.1 til 3.1.1
• Fejl # 1878: dns: nedbrud under logning af sshfp-optegnelser
• Fejl # 1880: Fejlpakker i icmpv4 kan føre til manglende detektion i tcp / udp
• Fejl # 1884: libhtp 0.5.22

Hvad er nyt i version 3.1.1:

• Funktion # 1775: Lua: SMTP-support
• Fejl nr. 1419: problemer med behandling af transaktioner i forbindelse med DNS
• Fejl # 1515: Problem med Threshold.config, når der bruges mere end en IP
• Fejl # 1664: Ubesvarede DNS-forespørgsler, der ikke logges, når strømmen er alderen ud
• Fejl # 1808: Kan ikke indstille trådprioritet efter at have slettet privilegier
• Fejl # 1821: Suricata 3.1 undlader at starte på CentOS6
• Fejl # 1839: suricata 3.1 configure.ac siger & gt; = libhtp-0.5.5, men & gt; = libhtp-0.5.20 kræves
• Bug # 1840: -list-keywords og -list-app-layer-protos virker ikke
• Fejl # 1841: libhtp 0.5.21
• Bug # 1844: netmap: IPS-tilstand indstiller ikke 2. iface i promisc-tilstand
• Fejl # 1845: Krasje ved at deaktivere en applagsprotokol, når loggeren stadig er aktiveret
• Optimering # 1846: af-pakke: forbedre trådberegningslogikken
• Optimering # 1847: regler: advarsel ikke om tomme filer

Hvad er nyt i version 3.0.1:

• forbedrede detektionsmuligheder, herunder multi-leje og xbits
• ydeevne og skalerbarhed meget forbedret
• Meget forbedret nøjagtighed og robusthed
• Skanningskapaciteten i Lua udvides betydeligt
• Mange output forbedringer, herunder meget mere JSON
• NETMAP capture metoden support, især interessant for FreeBSD brugere
• SMTP-inspektion og filudvinding

Hvad er nyt i version 3.0:

• forbedrede detektionsindstillinger, herunder multiløft og xbits
• ydeevne og skalerbarhed meget forbedret
• Meget forbedret nøjagtighed og robusthed
• Skanningskapaciteten i Lua udvides betydeligt
• Mange output forbedringer, herunder meget mere JSON
• NETMAP capture metoden support, især interessant for FreeBSD brugere
• SMTP-inspektion og filudvinding

Hvad er nyt i version 2.0.9:

• Ændringer:
• Fejl # 1385: DCERPC trafikparsing problem
• Fejl # 1391: http uri parsing problem
• Fejl # 1383: tcp midstream window issue
• Fejl # 1318: Et trådsynkroniseringsproblem i streamTCP
• Fejl # 1375: Regressions in list søgeord valg
• Bug # 1387: PCAP-fil hænger på systemer uden atomprogram støtte
• Fejl # 1395: Fejlsøgning af unix socket-kommandoen med dump-tæller
• Optimering # 1376: Filliste er ikke ryddet op
• Sikkerhed:
• DCERPC-analyseproblemet har CVE-2015-0928 tildelt det.

Hvad er nyt i version 2.0.7:

• Ændringer:
• Fejl # 1385: DCERPC trafikparsing problem
• Fejl # 1391: http uri parsing problem
• Fejl # 1383: tcp midstream window issue
• Fejl # 1318: Et trådsynkroniseringsproblem i streamTCP
• Fejl # 1375: Regressions in list søgeord valg
• Bug # 1387: PCAP-fil hænger på systemer uden atomprogram støtte
• Fejl # 1395: Fejlsøgning af unix socket-kommandoen med dump-tæller
• Optimering # 1376: Filliste er ikke ryddet op
• Sikkerhed:
• DCERPC-analyseproblemet har CVE-2015-0928 tildelt det.

Hvad er nyt i version 2.0.6:

• Fejl # 1364: Unddragelsesproblemer
• Fejl # 1337: output-json: duplikat logning
• Fejl 1325: tls detektion fører til tcp stream reassembly sekvens gaps (IPS)
• Fejl # 1192: Suricata kompilerer ikke på OS X / Clang på grund af omdefinering af strengfunktioner
• Fejl # 1183: PCAP: cppcheck advarsel

Hvad er nyt i version 2.0.5:

• Fejl nr. 1190: http_header-søgeord, der ikke matcher, når SYN | ACK og ACK mangler
• Fejl nr. 1246: EVE output Unix domæne socket fungerer ikke
• Fejl # 1272: Segfault i libhtp 0.5.15
• Fejl # 1298: Filestore søgeordsparsing problem
• Fejl # 1303: Forbedring af strejken 'dårlige vinduer opdatering' afsløring
• Fejl # 1304: forbedre strømhåndtering af dårlige SACK-værdier
• Fejl # 1305: Fix tcp session genbrug til ssh / ssl sessioner
• Fejl # 1307: byte_extract, inden for kombinationen virker ikke
• Fejl # 1326: PCre Pkt / Flowvar fange brudt til ikke-relative kampe
• Fejl # 1329: Ugyldig regel behandles og indlæses
• Fejl # 1330: Fejlbogføring fejl (2.0.x)

Hvad er nyt i version 2.0.4:

• Ændringer:
• Fejl nr. 1276: ipv6 defrag problemet med rutefunktioner
• Fejl # 1278: ssh banner parser problem
• Fejl # 1254: sigparsing crash på malformed rev søgeord
• Fejl nr. 1267: problem med ipv6-logning
• Fejl nr. 1273: Lua - http.request_line virker ikke
• Fejl # 1284: AF_PACKET IPS-tilstand, der ikke logger, falder og streger inline-udgave
• Sikkerhed:
• CVE-2014-6603

Hvad er nyt i version 2.0.3:

• Fejl nr. 1236: Fix potentielt krasj i http parsing
• Fejl nr. 1244: ipv6 defrag problem
• Fejl # 1238: Mulig unddragelse i stream-tcp-reassemble.c
• Fejl nr. 1221: lille konverteringstabel mangler sidste værdi
• Support # 1207: Kan ikke kompilere på CentOS 5 x64 med -enable-profilering
• Opdateret bundtet libhtp til 0.5.15

Hvad er nyt i version 2.0 RC1:

• Unified JSON output blev tilføjet. VLAN-håndtering blev forbedret.
• QinQ-support blev tilføjet.
• Der blev tilføjet en kommandolinje til overordnede konfigurationsindstillinger.
• Håndtering af ICMPv6 blev forbedret.
• Memcaps til DNS og HTTP håndtering blev tilføjet.
• Der blev foretaget flere forbedringer af pakketagning.
• En optimeret NSM runmode blev tilføjet.
• Mange andre problemer blev rettet.

Hvad er nyt i version 2.0 Beta 2:

• VLAN-support blev forbedret.
• Indstillinger for IP Defrag blev tilføjet.
• Indstillinger blev tilføjet for at aktivere og deaktivere protokollparsere.
• Protokol registrering blev forbedret.
• IPv6-forbedringer blev foretaget.
• HTTP-inspektion blev forbedret.
• Profileringsindstillingerne blev udvidet.
• Der blev foretaget mange flere ændringer.

Hvad er nyt i version 1.4.7:

• Rettelser:
• Fejl # 996: tag søgeord: tagging sessioner pr. tid er brudt
• Fejl # 1000: forsinket detekteringsværdier tærskler før de_ctx
• Fejl # 1001: ip_rep indlæser problem med flere værdier for en enkelt ip
• Fejl # 1022: StreamTcpPseudoPacketSetupHeader: port swap logic er ikke konsistent
• Fejl # 1047: detect-engine.profile - brugerdefineret værdi parsing brudt
• Fejl # 1063: Bestil ordre med flere fresh

Hvad er nyt i version 1.4.6:

• Fejl 958: misforståede SSL-poster, der fører til crash. Rapporteret af Sebastian Roschke. CVE-2013-5919.
• Fejl 971: AC-mønsterkompatibilitet uden for bunden hukommelse læses.
• Fejl 965: Forbedret negeret indholdshåndtering. Rapporteret af Will Metcalf.
• Fejl 937: Fix IPv6-i-IPv6-dekodning.
• Fejl 934: forbedre adresseparsering.
• Fejl 969: Fix Unified2 ikke logging tagged pakker.

Hvad er nyt i version 1.4.5:

• IPv6-problemer blev rettet.