Suricataは、Open Information Security Foundation(OISF)およびそのサポートベンダーによって開発された、オープンソースのマルチプラットフォームで、完全に無料のネットワーク侵入防御および検出エンジンです。
IDS / IPSエンジンはマルチスレッド化されています
SuricataのIDS / IPSエンジンはマルチスレッドで、ネイティブのIPv6をサポートしています。既存のSnortルールとシグネチャをロードすることができ、BarnyardとBarnyard2ツールをサポートします。
スケーラビリティが高い
Suricataはスケーラビリティが高く、最も一般的なプロトコルを認識し、数千種類のファイルタイプを特定し、MD5チェックサムをチェックし、アーカイブからファイルを抽出できるので、試してみるべきです。
主流のオペレーティングシステムをサポート
Suricataは、GNU / Linux、BSD(FreeBSDおよびOpenBSD)、Microsoft WindowsおよびMac OS Xオペレーティングシステムでうまく使用できるクロスプラットフォームアプリケーションです。
それはソースアーカイブとして配布されています
ソフトウェアはソースアーカイブとしてのみ配布され、インストール前に設定およびコンパイルする必要があります。ただし、Linuxディストリビューションのデフォルトのソフトウェアリポジトリから簡単にインストールできます。 32ビットと64ビットの両方のハードウェアプラットフォームがサポートされています。
オープンソース技術に基づく最高のIDSとIPSソフトウェア
Suricataは、これまでに構築され、オープンソース技術によってのみ動力を与えられる最高のIDS(Intrusion Detection System)とIPS(Intrusion Prevention System)ソフトウェアであることは間違いありません。
p>
セキュリティ:
CVE-2018-10242、CVE-2018-10244(suricata)
CVE-2018-10243(libhtp)
変更点:
バグ#2480:http eveログデータソース/ destフリップ(4.0.x)
Bug#2482:HTTP接続:3.1と4.0.xの検出率の違い
バグ#2531:yaml:ConfYamlHandleインクルード(4.0.x)
Bug#2532:memleak:アプリケーションレイヤのイベントルールを錆びないで使用する場合
Bug#2533:Suricata gzip unpacker bypass(4.0.x)
Bug#2534:Suricataは、TCP RSTが満たされた場合(4.0.x)TCPストリームの検査を停止します。
Bug#2535:SC_LOG_CONFIGレベルのメッセージは、EMERG優先度(4.0.x)でsyslogに記録されます。
Bug#2537:libhtp 0.5.27(4.0.x)
Bug#2540:getrandomは、より新しいOS(4.0.x)でsuricataの起動コマンドを防止します。
Bug#2544:sshが範囲外になったread(4.0.x)
Bug#2545:enip out of bounds read(4.0.x)
バージョン4.0.4の新機能:
セキュリティ:
CVE-2018-6794は#2440号で請求されました
変更点:
Bug#2306:出力ログの再オープンに失敗した際のsuricata 4デッドロック
Bug#2361:ルールリロードハングアップ
バグ#2389:AppLayerIncFlowCounter(4.0.x)でBUG_ONがアサートされる
Bug#2392:libhtp 0.5.26(4.0.x)
Bug#2422:[4.0.3] af_packet:(おそらく)インラインチャネルを壊す可能性のあるリーク
Bug#2438:さまざまな設定解析の問題
Bug#2439:pcapタイムスタンプがゼロ(4.0.x)のときタイムスタンプをオフラインに修正
Bug#2440:ストリームエンジンバイパス問題(4.0.x)
Bug#2441:der parser:入力が悪いとCPUとメモリ(4.0.x)が消費される
Bug#2443:DNP3 memcpyバッファオーバーフロー(4.0.x)
Bug#2444:rust / dns:不正なトラフィックのコアダンプ(4.0.x)
Bug#2445:http bodies / file_data:スレッドスペースの作成
バージョンの新機能:
機能#2245:ieee802.1AHトラフィックのデコーダ
バグ#798:yamlのstats.log config - appendオプション - missing
バグ#891:detect-engine.profileが間違った値でエラーを出力しない - suricata.yaml
Bug#961:最大解析パケットの可変解析
バグ#1185:napatech:cppcheck警告
Bug#2215:UNIXソケットへのイベントの書き込みが失われる
バグ#2230:valgrind memcheck - 4.0.0-dev(rev 1180687)
Bug#2250:detect:byte_extractとisdataatを混ぜるとFP&FNにつながる
バグ#2263:udpトラフィックでdns_queryを使用すると、内容が無視されます。
Bug#2274:util-misc.cのParseSizeString:ヌルポインタ逆参照
Bug#2275:conf.cのConfGetInt:NULLポインタの逆参照
Bug#2276:conf:CoredumpLoadConfigのNULLポインタの参照解除
Bug#2293:rules:depth<コンテンツルールが拒否されない
バグ#2324:http_start(4.0.x)のsegfault
Bug#2325:Suricata segfaults on ICMPおよびフローインチェック(4.0.x)
バージョン4.0.1の新機能:
改善された検出:
Emerging Threats and Positive Technologiesのルール作成チームからの貴重なフィードバックに基づいて、HTTP、SSHおよびその他のプロトコルを検査するための多くのルールキーワードを追加および改良しました。 TLSの追加は、NorCERTのMats Klepsland(TLSシリアル番号のデコード、ロギング、マッチングなど)によって行われました。さらに、Suricataではルール作成者がシグネチャ内のターゲットを指定できるようになりました。この情報は、EVE JSONロギングで使用され、アラートに関する詳細情報を提供します。
TLSが改善され、NFSが追加されました:
TLS側の詳細:SMTPとFTPのSTARTTLSのサポートが新しく追加されました。 TLSセッションがこれらの場合に記録されるようになりました。 Mats Klepslandからの優しさまた、TLSセッション再開ロギングは、Ray Ruvinskiyの仕事のおかげでサポートされました。追加のTLSロギングの改善は、Paulo Pachecoによって行われました。
実験的なRustサポートの一部として、NFSデコード、ロギング、ファイル抽出が追加されました。 Rustの詳細については、こちらをご覧ください。
もっとEVE JSON:
EVEはいくつかの方法で拡張されています...
カプセル化されたトラフィックの場合は、内部と外部の両方のIPアドレスとポートが記録されます
EVEは時間に基づいて回転できるようになりました
EVEを拡張して、オプションでHTTPリクエストおよび/またはレスポンスボディをログに記録しました
アラートレコードに(部分)フローレコードが追加されます。
シグニチャがロギングのための情報を正確に抽出することができるようになったので、 'vars'機能はここでの主な改善点の1つです。例えば、署名は、広告されたソフトウェアバージョンまたは電子メールの受信者などの他の情報を抽出することができる。 [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
より安全な未来への第一歩:
これはNomパーサフレームワークを使ってRust言語で部品を実装した最初のリリースです。この作品は、Pierre Chiffliers(ANSSI)の講演、SuriCon 2016(pdf)での講演に触発されています。 -enable-rustでコンパイルすると、基本的なNFSパーサーとDNSパーサーの再実装ができます。これに対するフィードバックは高く評価されます。錆のサポートは、それがどのように機能し、実行され、どのようにコミュニティでサポートするために必要なのかを引き続き探求しているので、まだ実験的です。さらに、Pierre Chiffliers Rustパーサーの作業も含まれています。これは、外部のRustパーサー 'crates'を使用し、-enable-rust-experimentalを使用すると有効になります。最初はこれがNTPパーサーを追加します。
フードの下:
主要なTCPストリームエンジンアップデートが含まれています。これにより、特にIPSモードでは、パフォーマンスが向上し、構成が少なくなります。 DNSとNFSの実装では、TCP GAPリカバリの第一歩がとられました。
開発者にとって、このリリースでは、検出エンジンを高性能なキーワードでもっと簡単に拡張できます。マルチパターンマッチングを使用して新しい高性能キーワードを追加するには、わずか数行のコードしか必要としません。
ドキュメンテーション:
SecureWorksのDavid Whartonは、Snortをバックグラウンドに持つルール作成者のためのドキュメントのセクションを作成しました。ルールの作成に関連する変更を文書化します。
次のステップ:
フィードバックに基づいて、1か月程度で4.0.1のリリースが予定されています。その後、次のメジャーリリース、つまり4.1で作業を開始します。これはプラハのSuriConより前のETAの晩秋に予定されています。
バージョン4.0.0の新機能:
改善された検出:
Emerging Threats and Positive Technologiesのルール作成チームからの貴重なフィードバックに基づいて、HTTP、SSHおよびその他のプロトコルを検査するための多くのルールキーワードを追加および改良しました。 TLSの追加は、NorCERTのMats Klepsland(TLSシリアル番号のデコード、ロギング、マッチングなど)によって行われました。さらに、Suricataではルール作成者がシグネチャ内のターゲットを指定できるようになりました。この情報は、EVE JSONロギングで使用され、アラートに関する詳細情報を提供します。
TLSが改善され、NFSが追加されました:
TLS側の詳細:SMTPとFTPのSTARTTLSのサポートが新しく追加されました。この場合、TLSセッションが記録されます。 Mats Klepslandからの優しさまた、TLSセッション再開ロギングは、Ray Ruvinskiyの仕事のおかげでサポートされました。追加のTLSロギングの改善は、Paulo Pachecoによって行われました。
実験的なRustサポートの一部として、NFSデコード、ロギング、ファイル抽出が追加されました。 Rustの詳細については、こちらをご覧ください。
もっとEVE JSON:
EVEはいくつかの方法で拡張されています...
カプセル化されたトラフィックの場合は、内部と外部の両方のIPアドレスとポートが記録されます
EVEは時間に基づいて回転できるようになりました
EVEを拡張して、オプションでHTTPリクエストおよび/またはレスポンスボディをログに記録しました
アラートレコードに(部分)フローレコードが追加されます。
シグニチャがロギングのための情報を正確に抽出することができるようになったので、 'vars'機能はここでの主な改善点の1つです。例えば、署名は、広告されたソフトウェアバージョンまたは電子メールの受信者などの他の情報を抽出することができる。 [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
より安全な未来への第一歩:
これはNomパーサフレームワークを使ってRust言語で部品を実装した最初のリリースです。この作品は、Pierre Chiffliers(ANSSI)の講演、SuriCon 2016(pdf)での講演に触発されています。 -enable-rustでコンパイルすると、基本的なNFSパーサーとDNSパーサーの再実装ができます。これに対するフィードバックは高く評価されます。錆のサポートは、それがどのように機能し、実行され、どのようにコミュニティでサポートするために必要なのかを引き続き探求しているので、まだ実験的です。さらに、Pierre Chiffliers Rustパーサーの作業も含まれています。これは、外部のRustパーサー 'crates'を使用し、-enable-rust-experimentalを使用すると有効になります。最初はこれがNTPパーサーを追加します。
フードの下:
主要なTCPストリームエンジンアップデートが含まれています。これにより、特にIPSモードでは、パフォーマンスが向上し、構成が少なくなります。 DNSとNFSの実装では、TCP GAPリカバリの第一歩がとられました。
開発者にとって、このリリースでは、検出エンジンを高性能なキーワードでもっと簡単に拡張できます。マルチパターンマッチングを使用して新しい高性能キーワードを追加するには、わずか数行のコードしか必要としません。
ドキュメンテーション:
SecureWorksのDavid Whartonは、Snortをバックグラウンドに持つルール作成者のためのドキュメントのセクションを作成しました。ルールの作成に関連する変更を文書化します。
次のステップ:
フィードバックに基づいて、1か月程度で4.0.1のリリースが予定されています。その後、次のメジャーリリース、つまり4.1で作業を開始します。これはプラハのSuriConより前のETAの晩秋に予定されています。
バージョン3.2.1の新機能:
機能#1951:libmagic / fileなしでビルドを許可する
Feature#1972:SURICATA ICMPv6 unknown type 143 for MLDv2 report
Feature#2010:Suricataは、Hyperscanサポートを使用して構築された実行時にSSSE3の存在を確認する必要があります
Bug#467:ユニットテストとデバッグ検証によるコンパイル
Bug#1780:afpacketインラインモードでVLANタグが転送されない
Bug#1827:Mpm ACがメモリ割り当てに失敗する
Bug#1843:Mpm Ac:init中のintオーバーフロー
Bug#1887:pcap-logはsnaplenを-1に設定します。
Bug#1946:状況によっては応答情報を取得できない
バグ#1973:UNIXソケットのためにsuricataが起動に失敗する
Bug#1975:hostbits / xbits memory leak
バグ#1982:tls:有効なトラフィックで無効なレコードイベントトリガ
バグ#1984:http:プロトコルの検出に問題がある場合は両側が不正です
Bug#1985:pcap-log:マイナーメモリリーク
Bug#1987:log-pcap:無効なsnaplenで作成されたpcapファイル
Bug#1988:tls_cert_subjectバグ
Bug#1989:SMTPプロトコル検出で大文字と小文字が区別される
バグ#1991:Suricataはポートを解析できません: "![1234、1235]"
Bug#1997:tls-store:Suricataをクラッシュさせるバグ
Bug#2001:迷惑なDNS応答の処理。
Bug#2003:BUG_ON本体に副作用コードが含まれることがあります
Bug#2004:force-hashが使用されているときの無効なファイルハッシュ計算
Bug#2005:要求、キャプチャ、およびHTTP長の間のインコヒーレントサイズ
バグ#2007:smb:プロトコルの検出だけでtoserverをチェックする
Bug#2008:Suricata 3.2、timestamp_pattern PCREのためにpcap-logが機能しなくなりました
Bug#2009:Suricataは、ルート以外の環境で実行するとオフロード設定を取得できません
バグ#2012:dns.logは未応答のクエリを記録しません
Bug#2017:EVEが不足しているフィールドを記録する
Bug#2019:IPv4デフラグ回避の問題
Bug#2022:dns:バインドされたメモリからの読み取り
バージョン3.2の新機能:
大きな変更点:
バイパス
プレフィルタ - 高速パケットキーワード
TLSの改善
SCADA / ICSプロトコル追加:DNP3 CIP / ENIP
ファイルマッチング、ロギング、抽出のためのSHA1 / SHA256
スフィンクスのドキュメント
目に見える小さな変化:
NICオフロードはデフォルトで無効になっています
unixコマンドソケットはデフォルトで有効になっています
アプリ層の統計情報
フードの下:
スレッドの簡素化(log api +スレッドの再起動なし)
フローマネージャの最適化
キーワードの追加を簡素化
大きな展開でのメモリ処理の改善
バージョン3.1.2の新機能:
機能#1830:eveログに「タグ」をサポート
機能#1870:ログされたフローIDをよりユニークにする
Feature#1874:Cisco Fabric Path / DCEのサポート
機能#1885:eve:ドロップされたすべてのパケットを記録するオプションを追加する
機能#1886:dns:出力フィルタリング
Bug#1849:イーサネットFCSが存在する場合のICMPv6不正なチェックサムアラート
Bug#1853:dce_stub_dataバッファを修正する
バグ#1854:unified2:タグ付きパケットのロギングが機能しない
Bug#1856:PCAPモードデバイスが見つかりません
Bug#1858:3.0.1から3.1.1へのアップグレード後、たくさんのTCP「複製されたオプション/ DNS不正なリクエストデータ」
バグ#1878:dns:sshfpレコードを記録中にクラッシュする
Bug#1880:icmpv4エラーパケットがtcp / udpの検出に失敗することがある
Bug#1884:libhtp 0.5.22
バージョン3.1.1の新機能:
機能#1775:Lua:SMTPサポート
Bug#1419:DNSトランザクション処理の問題
Bug#1515:複数のIPを使用する場合のThreshold.configの問題
Bug#1664:フローが期限切れになったときに記録されない未対応のDNSクエリ
Bug#1808:特権を削除した後にスレッドの優先度を設定できない
Bug#1821:Suricata 3.1がCentOS6で起動できない
バグ#1839:suricata 3.1 configure.acは> = libhtp-0.5.5だが> = libhtp-0.5.20が必要
Bug#1840:-list-keywordsおよび-list-app-layer-protosが動作しない
Bug#1841:libhtp 0.5.21
Bug#1844:netmap:IPSモードで2番目のifaceをプロミスモードに設定しない
Bug#1845:ロガーがまだ有効な場合にアプリ層プロトコルを無効にするとクラッシュする
最適化#1846:af-packet:スレッド計算ロジックの改善
最適化#1847:ルール:空のファイルについて警告しない
バージョン3.0.1の新機能:
マルチテナントとxbitsを含む検出オプションの改善
パフォーマンスとスケーラビリティが大幅に向上
精度とロバスト性を大幅に向上
Luaのスクリプト機能が大幅に拡張
はるかに多くのJSON
NETMAPのキャプチャメソッドのサポート、特にFreeBSDユーザにとって興味深い
SMTP検査とファイル抽出
バージョン3.0の新機能:マルチテナントとxbitsを含む検出オプションの改善
パフォーマンスとスケーラビリティが大幅に向上
精度とロバスト性を大幅に向上
Luaのスクリプト機能が大幅に拡張
はるかに多くのJSON
NETMAPのキャプチャメソッドのサポート、特にFreeBSDユーザにとって興味深い
SMTP検査とファイル抽出
バージョン2.0.9の新機能:
変更:
バグ#1385:DCERPCトラフィック解析の問題
バグ#1391:http URI解析問題
Bug#1383:tcp midstreamウィンドウの問題
バグ#1318:streamTCPのスレッド同期に関する問題
Bug#1375:リストキーワードオプションの回帰
バグ#1387:アトミック・サポートなしのシステムでpcap-fileがハングする
バグ#1395:dump-counters unix socketコマンドの失敗
最適化#1376:ファイルリストがクリーンアップされていません
セキュリティ:
DCERPCの解析問題にはCVE-2015-0928が割り当てられています。
バージョン2.0.7の新機能:
変更:
バグ#1385:DCERPCトラフィック解析の問題
バグ#1391:http URI解析問題
Bug#1383:tcp midstreamウィンドウの問題
バグ#1318:streamTCPのスレッド同期に関する問題
Bug#1375:リストキーワードオプションの回帰
バグ#1387:アトミック・サポートなしのシステムでpcap-fileがハングする
バグ#1395:dump-counters unix socketコマンドの失敗
最適化#1376:ファイルリストがクリーンアップされていません
セキュリティ:
DCERPCの解析問題にはCVE-2015-0928が割り当てられています。
バージョン2.0.6の新機能:
Bug#1364:回避の問題
Bug#1337:output-json:重複ログ
バグ#1325:tls検出によりtcpストリーム再構成シーケンスギャップ(IPS)
Bug#1192:文字列関数の再定義のためにSuricataがOS X / Clangでコンパイルされない
バグ#1183:pcap:cppcheck警告
バージョン2.0.5の新機能:
Bug#1190:SYN | ACKとACKが見つからない場合、http_headerキーワードが一致しません
Bug#1246:EVE出力のUnixドメインソケットが動作しない
Bug#1272:Segfault in libhtp 0.5.15
Bug#1298:Filestoreキーワードの解析に関する問題
Bug#1303:ストリームの「Bad Window Update」検出を改善する
Bug#1304:悪いSACK値のストリーム処理を改善する
バグ#1305:ssh / sslセッションのtcpセッション再利用を修正
Bug#1307:組み合わせ内のbyte_extractが機能しない
バグ#1326:非相対的な一致に対してpcre pkt / flowvarのキャプチャが壊れた
Bug#1329:無効なルールが処理されて読み込まれています
バグ#1330:フローmemuseの簿記エラー(2.0.x)
バージョン2.0.4の新機能:
変更:
バグ#1276:ルーティングヘッダーでipv6の問題を解決する
Bug#1278:sshバナーパーサーの問題
バグ#1254:不正なrevキーワードでsig解析クラッシュ
Bug#1267:ipv6ロギングに関する問題
Bug#1273:Lua - http.request_lineが機能しない
バグ#1284:AF_PACKET IPSモードではロギングが行われず、インラインでストリームが発行される
セキュリティ:
CVE-2014-6603
バージョン2.0.3の新機能:
Bug#1236:http解析時の潜在的なクラッシュを修正
Bug#1244:ipv6 defragの問題
Bug#1238:stream-tcp-reassemble.cでの回避策
Bug#1221:最後の値がない小文字の変換テーブル
サポート#1207:CentOS 5 x64で-enable-profilingでコンパイルできない
バンドルされたlibhtpを0.5.15にアップデート
バージョン2.0 RC1の新機能:
統合されたJSON出力が追加されました。 VLAN処理が改善されました。
QinQサポートが追加されました。
構成設定を上書きするためのコマンドラインオプションが追加されました。
ICMPv6の処理が改善されました。
DNSとHTTP処理用のMemcapが追加されました。
いくつかのパケットキャプチャの改良が行われました。
最適化されたNSMランモードが追加されました。
その他多くの問題が修正されました。
バージョン2.0 Beta 2の新機能:
VLANサポートが改善されました。
IP Defragオプションが追加されました。
プロトコルパーサーを有効または無効にするためのオプションが追加されました。
プロトコル検出が改善されました。
IPv6の改良が行われました。
HTTP検査が改善されました。
プロファイリングオプションが拡張されました。
さらに多くの変更が加えられました。
バージョン1.4.7の新機能:
修正:
Bug#996:tagキーワード:1回のタグ付けセッションが壊れています
Bug#1000:de_ctxの前のしきい値の遅延検出
Bug#1001:ip_repに複数の値を1つのipでロードする
Bug#1022:StreamTcpPseudoPacketSetupHeader:ポートスワップロジックが一貫していません
Bug#1047:detect-engine.profile - カスタム値の解析が壊れています
Bug#1063:複数のvarsを使用したルールの順序付け
バージョン1.4.6の新機能:
Bug 958:不正な形式のSSLレコードがクラッシュする。 Sebastian Roschkeによって報告されました。 CVE-2013-5919
バグ971:ACパターンマッチャーが範囲外のメモリ読み取り。
バグ965:否定されたコンテンツ処理を改善する。 Will Metcalfによって報告された。
バグ937:IPv6-in-IPv6デコードを修正しました。
バグ934:アドレス解析を改善する。
バグ969:タグ付きパケットを記録しないunified2を修正しました。
バージョン1.4.5の新機能:
IPv6の問題は修正されました。
コメントが見つかりません