Suricata

Die IDS / IPS-Engine von Suricata ist multi-threaded und bietet native IPv6-Unterstützung. Es kann vorhandene Snort-Regeln und -Signaturen laden und unterstützt die Tools Barnyard und Barnyard2.

Sie sollten Suricata ausprobieren, weil es sehr skalierbar ist, die meisten gängigen Protokolle erkennt und Tausende von Dateitypen erkennt, MD5-Prüfsummen prüft und Dateien aus Archiven extrahiert.

Suricata ist eine plattformübergreifende Anwendung, die unter GNU / Linux-, BSD- (FreeBSD- und OpenBSD-), Microsoft Windows- und Mac OS X-Betriebssystemen erfolgreich eingesetzt werden kann.

Die Software wird nur als Quellarchiv verteilt, das vor der Installation konfiguriert und kompiliert werden muss. Sie können es jedoch problemlos von den Standard-Software-Repositories Ihrer Linux-Distribution installieren. Sowohl 32-Bit- als auch 64-Bit-Hardware-Plattformen werden unterstützt.

Die beste IDS- und IPS-Software, die auf Open-Source-Technologien basiert

Suricata ist ohne Zweifel die beste IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) Software, die jemals entwickelt wurde und nur mit Open-Source-Technologien betrieben wird.

Was ist neu In dieser Version:

• Sicherheit:

CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Änderungen:
• Fehler # 2480: http eve Protokolldatenquelle / dest flip (4.0.x)
• Fehler # 2482: HTTP-Verbindung: Unterschied in den Erkennungsraten zwischen 3.1 und 4.0.x
• Fehler # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Fehler # 2532: mleleak: wenn App-Layer-Ereignisregeln ohne Rost verwendet werden
• Fehler # 2533: Suricata gzip Entpacker umgehen (4.0.x)
• Fehler # 2534: Suricata beendet die Überprüfung des TCP-Streams, wenn eine TCP-RST erfüllt wurde (4.0.x)
• Fehler # 2535: Nachrichten mit SC_LOG_CONFIG-Ebene werden in Syslog mit EMERG-Priorität (4.0.x)
protokolliert
• Fehler # 2537: libhtp 0.5.27 (4.0.x)
• Fehler # 2540: betragandom verhindert alle Suricata-Startbefehle auf späteren Betriebssystemen (4.0.x)
• Fehler # 2544: ssh out of bounds read (4.0.x)
• Fehler # 2545: enip out of bounds read (4.0.x)

Was ist neu in Version 4.0.4:

• Sicherheit:
• CVE-2018-6794 wurde für die Ausgabe # 2440
angefordert
• Änderungen:
• Fehler # 2306: suricata 4 Deadlocks beim erneuten Öffnen des Ausgabeprotokolls
• Fehler # 2361: Regel erneut laden auflegen
• Fehler # 2389: BUG_ON wird in AppLayerIncFlowCounter (4.0.x)
bestätigt
• Fehler # 2392: libhtp 0.5.26 (4.0.x)
• Fehler # 2422: [4.0.3] af_packet: ein Leck, das (möglicherweise) einen Inline-Kanal unterbricht
• Fehler # 2438: verschiedene Probleme beim Parsen der Konfiguration
• Fehler # 2439: Fix Zeitstempel offline, wenn pcap Zeitstempel Null (4.0.x)
ist
• Fehler # 2440: Stream Engine Bypass Problem (4.0.x)
• Fehler # 2441: der Parser: schlechte Eingabe verbraucht CPU und Speicher (4.0.x)
• Fehler # 2443: DNP3 memcpy buffer overflow (4.0.x)
• Fehler # 2444: Rost / DNS: Core Dump mit falschem Traffic (4.0.x)
• Fehler # 2445: http bodies / file_data: Erstellung von Thread-Speicherplatz außerhalb der Grenzen

Was ist neu in der Version:

• Feature # 2245: Decoder für ieee802.1AH-Verkehr
• Fehler # 798: stats.log in yaml config - Option anhängen - fehlt
• Fehler # 891: detect-engine.profile geht nicht in falschen Werten aus - suricata.yaml
• Fehler # 961: Parsen der max. ausstehenden Pakete Variable
• Fehler # 1185: napatech: cppcheck warning
• Fehler # 2215: Verlorene Ereignisse, die in den Unix-Socket schreiben
• Fehler # 2230: valgrind memcheck - 4.0.0-dev (rev. 1180687)
• Fehler # 2250: detect: mixing byte_extract und isdataat führt zu FP & FN
• Fehler # 2263: Inhaltsübereinstimmungen werden ignoriert, wenn dns_query im UDP-Verkehr verwendet wird
• Fehler # 2274: ParseSizeString in util-misc.c: Nullzeiger-Dereferenzierung
• Fehler # 2275: ConfGetInt in conf.c: Nullzeiger-Dereferenzierung
• Fehler # 2276: conf: Nullzeiger-Dereferenz in CoredumpLoadConfig
• Fehler # 2293: Regeln: Tiefe & lt; Inhaltsregeln nicht abgelehnt
• Fehler # 2324: segfault in http_start (4.0.x)
• Fehler # 2325: Suricata segfaults bei ICMP und Flowint Check (4.0.x)

Was ist neu in Version 4.0.1:

• Verbesserte Erkennung:
• Basierend auf dem wertvollen Feedback der Teams zum Erstellen von Regeln bei Emerging Threats und Positive Technologies haben wir viele Regelschlüsselwörter für die Überprüfung von HTTP, SSH und anderen Protokollen hinzugefügt und verbessert. TLS-Ergänzungen wurden von Mats Klepsland bei NorCERT bereitgestellt, einschließlich Decodierung, Protokollierung und Abgleich der TLS-Seriennummern. Darüber hinaus ermöglicht es Suricata jetzt, dass Regelverfasser angeben, wer das Ziel in einer Signatur ist. Diese Informationen werden in der EVE-JSON-Protokollierung verwendet, um mehr Kontext mit Warnungen bereitzustellen.
• TLS verbessert, NFS hinzugefügt:
• Mehr auf der TLS-Seite: Eine wichtige neue Funktion ist die Unterstützung von STARTTLS in SMTP und FTP. In diesen Fällen werden TLS-Sitzungen protokolliert. Mehr Güte von Mats Klepsland. Dank der Arbeit von Ray Ruvinskiy wird jetzt auch das Protokollieren der TLS-Sitzung fortgesetzt. Zusätzliche TLS-Protokollierungsverbesserungen wurden von Paulo Pacheco durchgeführt.
• NFS-Dekodierung, Protokollierung und Dateiextraktion wurde als Teil der experimentellen Rust-Unterstützung hinzugefügt. Lesen Sie weiter für mehr Informationen über Rust.
• Mehr EVE JSON:
• EVE wird auf verschiedene Arten erweitert ...
• Bei gekapseltem Verkehr werden sowohl die innere als auch die äußere IP-Adresse und die Ports protokolliert
• Die 'vars'-Einrichtung protokolliert Flussbits und andere Variablen. Dies kann auch verwendet werden, um Daten, die aus dem Datenverkehr extrahiert wurden, mit einer PCRE-Anweisung in Regeln
zu protokollieren
• EVE kann nun basierend auf der Zeit gedreht werden
• EVE wurde erweitert, um optional die HTTP-Anfrage und / oder Antwort-Körper
zu protokollieren
• Der (Teil-) Flussdatensatz wird den Alarmdatensätzen hinzugefügt.
• Die Funktion "vars" ist eine der wichtigsten Verbesserungen, da es jetzt möglich ist, dass eine Signatur Informationen für die Protokollierung genau extrahiert. Zum Beispiel kann eine Signatur eine angekündigte Softwareversion oder andere Informationen wie den Empfänger einer E-Mail extrahieren. [https://blog.inliniac.net/2016/12/20/suricata-bits-ins-and-vars/]
• Erster Schritt in eine sicherere Zukunft:
• Dies ist die erste Version, in der wir Teile in der Sprache Rust unter Verwendung des Nom-Parser-Frameworks implementiert haben. Diese Arbeit ist inspiriert von Pierre Chiffliers (ANSSI), Vortrag auf der SuriCon 2016 (pdf). Durch die Kompilierung mit -enable-rost erhalten Sie einen grundlegenden NFS-Parser und eine Neuimplementierung des DNS-Parsers. Feedback dazu wird sehr geschätzt.
• Die Unterstützung von Rust ist immer noch experimentell, da wir weiterhin untersuchen, wie es funktioniert und was es braucht, um es in der Gemeinschaft zu unterstützen. Zusätzlich haben wir Pierre Chiffliers Rust Parser-Arbeit eingeschlossen. Dies verwendet externe Rust-Parser-Kästen und wird durch die Verwendung von -enable-rust-experimental ermöglicht. Anfangs wird ein NTP-Parser hinzugefügt.
• Unter der Haube:
• Eine wichtige Aktualisierung der TCP-Stream-Engine ist enthalten. Dies sollte zu einer besseren Leistung und weniger Konfiguration führen, besonders im IPS-Modus. Erste Schritte in der TCP-GAP-Wiederherstellung wurden unternommen, mit Implementierungen für DNS und NFS.
• Für Entwickler erleichtert diese Version die Erweiterung der Erkennungs-Engine um leistungsstarke Keywords. Das Hinzufügen eines neuen Hochleistungs-Keywords mithilfe der Mehrfachmustererkennung erfordert jetzt nur noch wenige Codezeilen.
• Dokumentation:
• David Wharton von SecureWorks hat einen Abschnitt in der Dokumentation für Regelschreiber erstellt, die einen Hintergrund in Snort haben. Es dokumentiert Änderungen, die für das Schreiben von Regeln relevant sind.
• Nächste Schritte:
• Aufgrund des Feedbacks, das wir erhalten, erwarten wir, dass wir in etwa einem Monat eine Version 4.0.1 veröffentlichen werden. Dann beginnen wir mit der Arbeit an der nächsten Hauptversion, die 4.1 heißt. Dies ist geplant für den späten Herbst, ETA vor SuriCon in Prag.

Was ist neu in Version 4.0.0:

• Verbesserte Erkennung:
• Basierend auf dem wertvollen Feedback der Teams zum Erstellen von Regeln bei Emerging Threats und Positive Technologies haben wir viele Regelschlüsselwörter für die Überprüfung von HTTP, SSH und anderen Protokollen hinzugefügt und verbessert. TLS-Ergänzungen wurden von Mats Klepsland bei NorCERT bereitgestellt, einschließlich Decodierung, Protokollierung und Abgleich der TLS-Seriennummern. Darüber hinaus ermöglicht es Suricata jetzt, dass Regelverfasser angeben, wer das Ziel in einer Signatur ist. Diese Informationen werden in der EVE-JSON-Protokollierung verwendet, um mehr Kontext mit Warnungen bereitzustellen.
• TLS verbessert, NFS hinzugefügt:
• Mehr auf der TLS-Seite: Eine wichtige neue Funktion ist die Unterstützung von STARTTLS in SMTP und FTP. In diesen Fällen werden TLS-Sitzungen protokolliert. Mehr Güte von Mats Klepsland. Dank der Arbeit von Ray Ruvinskiy wird jetzt auch das Protokollieren der TLS-Sitzung fortgesetzt. Zusätzliche TLS-Protokollierungsverbesserungen wurden von Paulo Pacheco durchgeführt.
• NFS-Dekodierung, Protokollierung und Dateiextraktion wurde als Teil der experimentellen Rust-Unterstützung hinzugefügt. Lesen Sie weiter für mehr Informationen über Rust.
• Mehr EVE JSON:
• EVE wird auf verschiedene Arten erweitert ...
• Bei gekapseltem Verkehr werden sowohl die innere als auch die äußere IP-Adresse und die Ports protokolliert
• Die 'vars'-Einrichtung protokolliert Flussbits und andere Variablen. Dies kann auch verwendet werden, um Daten, die aus dem Datenverkehr extrahiert wurden, mit einer PCRE-Anweisung in Regeln
zu protokollieren
• EVE kann nun basierend auf der Zeit gedreht werden
• EVE wurde erweitert, um optional die HTTP-Anfrage und / oder Antwort-Körper
zu protokollieren
• Der (Teil-) Flussdatensatz wird den Alarmdatensätzen hinzugefügt.
• Die Funktion "vars" ist eine der wichtigsten Verbesserungen, da es jetzt möglich ist, dass eine Signatur Informationen für die Protokollierung genau extrahiert. Zum Beispiel kann eine Signatur eine angekündigte Softwareversion oder andere Informationen wie den Empfänger einer E-Mail extrahieren. [https://blog.inliniac.net/2016/12/20/suricata-bits-ins-and-vars/]
• Erster Schritt in eine sicherere Zukunft:
• Dies ist die erste Version, in der wir Teile in der Sprache Rust unter Verwendung des Nom-Parser-Frameworks implementiert haben. Diese Arbeit ist inspiriert von Pierre Chiffliers (ANSSI), Vortrag auf der SuriCon 2016 (pdf). Durch die Kompilierung mit -enable-rost erhalten Sie einen grundlegenden NFS-Parser und eine Neuimplementierung des DNS-Parsers. Feedback dazu wird sehr geschätzt.
• Die Unterstützung von Rust ist immer noch experimentell, da wir weiterhin untersuchen, wie es funktioniert und was es braucht, um es in der Gemeinschaft zu unterstützen. Zusätzlich haben wir Pierre Chiffliers Rust Parser-Arbeit eingeschlossen. Dies verwendet externe Rust-Parser-Kästen und wird durch die Verwendung von -enable-rust-experimental ermöglicht. Anfangs wird ein NTP-Parser hinzugefügt.
• Unter der Haube:
• Eine wichtige Aktualisierung der TCP-Stream-Engine ist enthalten. Dies sollte zu einer besseren Leistung und weniger Konfiguration führen, besonders im IPS-Modus. Erste Schritte in der TCP-GAP-Wiederherstellung wurden unternommen, mit Implementierungen für DNS und NFS.
• Für Entwickler erleichtert diese Version die Erweiterung der Erkennungs-Engine um leistungsstarke Keywords. Das Hinzufügen eines neuen Hochleistungs-Keywords mithilfe der Mehrfachmustererkennung erfordert jetzt nur noch wenige Codezeilen.
• Dokumentation:
• David Wharton von SecureWorks hat einen Abschnitt in der Dokumentation für Regelschreiber erstellt, die einen Hintergrund in Snort haben. Es dokumentiert Änderungen, die für das Schreiben von Regeln relevant sind.
• Nächste Schritte:
• Aufgrund des Feedbacks, das wir erhalten, erwarten wir, dass wir in etwa einem Monat eine Version 4.0.1 veröffentlichen werden. Dann beginnen wir mit der Arbeit an der nächsten Hauptversion, die 4.1 heißt. Dies ist geplant für den späten Herbst, ETA vor SuriCon in Prag.

Was ist neu in Version 3.2.1:

• Feature # 1951: Erlaube Gebäude ohne libmagic / file
• Feature # 1972: SURICATA ICMPv6 unbekannter Typ 143 für MLDv2 Bericht
• Feature # 2010: Suricata sollte die Anwesenheit von SSSE3 zur Laufzeit bestätigen, wenn es mit der Hyperscan-Unterstützung
erstellt wurde
• Fehler # 467: Kompilierung mit Unittests und Debug-Validierung
• Fehler # 1780: VLAN Tags werden nicht im afpacket Inline-Modus weitergeleitet
• Fehler # 1827: Mpm AC kann Speicher nicht zuordnen
• Fehler # 1843: Mpm Ac: int Überlauf während init
• Fehler # 1887: pcap-log setzt snaplen auf -1
• Fehler # 1946: Antwort kann in einigen Situationen nicht gefunden werden
• Fehler # 1973: suricata startet nicht wegen Unix Socket
• Fehler # 1975: Hostbits / xbits Speicherleck
• Fehler # 1982: tls: ungültiges Ereignis bei gültigem Datenverkehr ausgelöst
• Fehler # 1984: http: Protokollerkennungsproblem, wenn beide Seiten fehlerhaft sind
• Fehler # 1985: pcap-log: kleinere Speicherlecks
• Fehler # 1987: log-pcap: pcap-Dateien, die mit ungültigem Snaple erstellt wurden
• Fehler # 1988: tls_cert_subject Bug
• Fehler # 1989: SMTP-Protokollerkennung unterscheidet zwischen Groß- und Kleinschreibung
• Fehler # 1991: Suricata kann Ports nicht analysieren: "! [1234, 1235]"
• Fehler # 1997: tls-store: Bug, der Suricata zum Absturz bringt
• Fehler # 2001: Behandlung von unerwünschten DNS-Antworten.
• Fehler # 2003: BUG_ON body enthält manchmal side-functional code
• Fehler # 2004: Ungültige Datei-Hash-Berechnung, wenn force-hash verwendet wird
• Fehler # 2005: Inkohärente Größen zwischen Anfrage, Erfassung und HTTP-Länge
• Bug # 2007: smb: Protokoll-Erkennung prüft nur toserver
• Fehler # 2008: Suricata 3.2, pcap-log funktioniert nicht mehr aufgrund von timestamp_pattern PCRE
• Fehler # 2009: Suricata kann keine Offloading-Einstellungen erhalten, wenn sie unter Nicht-Root
ausgeführt werden
• Fehler # 2012: dns.log protokolliert keine unbeantworteten Abfragen
• Fehler # 2017: EVE Log Missing Fields
• Fehler # 2019: IPv4-Defragmentierungsproblem
• Fehler # 2022: DNS: nicht gebundener Speicher gelesen

Was ist neu in Version 3.2:

• Große Änderungen:
• umgehen
• Vorfilter - schnelle Paketschlüsselwörter
• TLS-Verbesserungen
• SCADA / ICS-Protokoll-Ergänzungen: DNP3 CIP / ENIP
• SHA1 / SHA256 für Dateiabgleich, Protokollierung und Extraktion
• Sphinx-Dokumentation
• Sichtbare kleinere Änderungen:
• NIC-Verschiebung ist standardmäßig deaktiviert
• Unix-Befehlssockel standardmäßig aktiviert
• App-Layer-Statistiken
• Unter der Haube:
• Threading-Vereinfachung (log api + keine weiteren Threadneustarts)
• Flussmanageroptimierung
• vereinfachen Sie das Hinzufügen von Keywords
• luajit Verbesserungen bei der Speicherverwaltung in großen Bereitstellungen

Was ist neu in Version 3.1.2:

• Feature # 1830: Unterstütze 'Tag' in Eve Log
• Feature # 1870: mache geloggte flow_id eindeutiger
• Feature # 1874: Unterstützung von Cisco Fabric Path / DCE
• Feature # 1885: eve: Option zum Protokollieren aller gelöschten Pakete
hinzufügen
• Feature # 1886: DNS: Ausgabefilterung
• Fehler # 1849: ICMPv6 falscher Prüfsummenalarm, wenn Ethernet FCS vorhanden ist
• Fehler # 1853: behebe dce_stub_data buffer
• Fehler # 1854: Unified2: Protokollierung von getaggten Paketen funktioniert nicht
• Fehler # 1856: PCAP-Modus-Gerät nicht gefunden
• Fehler # 1858: Viele TCP 'doppelte Option / DNS ungültige Anfragedaten' nach dem Upgrade von 3.0.1 auf 3.1.1
• Fehler # 1878: DNS: Absturz während der Protokollierung sshfp Datensätze
• Fehler # 1880: icmpv4-Fehlerpakete können zu einer fehlgeschlagenen Erkennung in tcp / udp
führen
• Fehler # 1884: libhtp 0.5.22

Was ist neu in Version 3.1.1:

• Feature # 1775: Lua: SMTP-Unterstützung
• Fehler # 1419: Probleme bei der Behandlung von DNS-Transaktionen
• Fehler # 1515: Problem mit Threshold.config bei Verwendung von mehr als einer IP
• Fehler # 1664: Nicht replizierte DNS-Abfragen werden nicht protokolliert, wenn der Flow ausläuft
• Fehler # 1808: Thread-Priorität kann nach dem Löschen von Privilegien nicht festgelegt werden
• Fehler # 1821: Suricata 3.1 startet nicht auf CentOS6
• Fehler # 1839: suricata 3.1 configure.ac sagt & gt; = libhtp-0.5.5, aber & gt; = libhtp-0.5.20 erforderlich
• Fehler # 1840: -list-keywords und -list-app-layer-protos funktionieren nicht
• Fehler # 1841: libhtp 0.5.21
• Fehler # 1844: netmap: IPS-Modus setzt 2. iface im Promisc-Modus nicht
• Fehler # 1845: Absturz beim Deaktivieren eines App-Layer-Protokolls, wenn der Logger noch aktiviert ist
• Optimierung # 1846: af-packet: Verbesserung der Thread-Berechnungslogik
• Optimierung # 1847: Regeln: Warne nicht auf leere Dateien

Was ist neu in Version 3.0.1:

• verbesserte Erkennungsoptionen, einschließlich Mandantenfähigkeit und xbits
• Leistung und Skalierbarkeit stark verbessert
• viel verbesserte Genauigkeit und Robustheit
• Lua Scripting-Funktionen wurden erheblich erweitert
• viele Ausgabe Verbesserungen, darunter viel mehr JSON
• Unterstützung von NETMAP-Capture-Methoden, besonders interessant für FreeBSD-Benutzer
• SMTP-Prüfung und Dateiextraktion

Was ist neu in Version 3.0: