Suricata

El motor IDS / IPS de Suricata tiene múltiples subprocesos y admite IPv6 nativo. Es capaz de cargar las reglas y firmas existentes de Snort y es compatible con las herramientas Barnyard y Barnyard2.

Debería probar Suricata porque es altamente escalable, reconoce los protocolos más comunes y puede identificar miles de tipos de archivos, verificar las sumas de verificación MD5 y extraer archivos de los archivos.

Suricata es una aplicación multiplataforma que se puede usar con éxito en sistemas operativos GNU / Linux, BSD (FreeBSD y OpenBSD), Microsoft Windows y Mac OS X.

El software solo se distribuye como un archivo de origen, que debe configurarse y compilarse antes de la instalación. Sin embargo, puede instalarlo fácilmente desde los repositorios de software predeterminados de su distribución de Linux. Ambas plataformas de hardware de 32 bits y 64 bits son compatibles.

El mejor software IDS e IPS basado en tecnologías de código abierto

Suricata es sin duda el mejor software de IDS (Sistema de Detección de Intrusiones) e IPS (Sistema de Prevención de Intrusiones) jamás creado, impulsado solo por tecnologías de código abierto.

Lo nuevo en este lanzamiento:

• Seguridad:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Cambios:
• Error # 2480: fuente de datos de registro de vísperas http / dest flip (4.0.x)
• Error # 2482: conexión HTTP: diferencia en las tasas de detección entre 3.1 y 4.0.x
• Error # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Error # 2532: memleak: cuando se usan reglas de eventos de la capa de aplicaciones sin óxido
• Error # 2533: Suricata gzip desempate desvío (4.0.x)
• Error # 2534: Suricata deja de inspeccionar la transmisión TCP si se cumplió un TCP RST (4.0.x)
• Error # 2535: los mensajes con nivel SC_LOG_CONFIG se registran en syslog con prioridad EMERG (4.0.x)
• Error # 2537: libhtp 0.5.27 (4.0.x)
• Error # 2540: getrandom evita los comandos de inicio suricata en más sistemas operativos posteriores (4.0.x)
• Error # 2544: ssh fuera de límites read (4.0.x)
• Error # 2545: enip fuera de límites read (4.0.x)

Qué hay de nuevo en la versión 4.0.4:

• Seguridad:
• Se solicitó CVE-2018-6794 para el número 2440
• Cambios:
• Error # 2306: suricata 4 puntos muertos durante la reapertura fallida del registro de salida
• Error # 2361: cuelgue de recarga de regla
• Error # 2389: BUG_ON afirma en AppLayerIncFlowCounter (4.0.x)
• Error # 2392: libhtp 0.5.26 (4.0.x)
• Bug # 2422: [4.0.3] af_packet: una filtración que (posiblemente) rompe un canal en línea
• Error # 2438: varios problemas de análisis de configuración
• Error # 2439: arregla la marca de tiempo sin conexión cuando la marca de tiempo pcap es cero (4.0.x)
• Error # 2440: problema de omisión de motor de transmisión (4.0.x)
• Error # 2441: analizador der: la entrada incorrecta consume CPU y memoria (4.0.x)
• Error # 2443: desbordamiento de búfer memcpy DNP3 (4.0.x)
• Bug # 2444: rust / dns: Core Dump con tráfico mal formado (4.0.x)
• Error # 2445: http bodies / file_data: escritura de creación de espacio de subproceso fuera de límites

Qué hay de nuevo en la versión:

• Característica # 2245: decodificador para el tráfico ieee802.1AH
• Error # 798: stats.log en la configuración de yaml - opción de agregar - falta
• Error # 891: detect-engine.profile no se equivoca en valores incorrectos - suricata.yaml
• Error # 961: análisis de variable de paquetes pendientes máximos
• Error # 1185: napatech: advertencia cppcheck
• Error # 2215: eventos perdidos escribiendo en el socket de Unix
• Error # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Error # 2250: detectar: ​​mezclar byte_extract e isdataat lleva a FP & FN
• Error # 2263: coincidencias de contenido desatendidas cuando se usa dns_query en el tráfico udp
• Error # 2274: ParseSizeString en util-misc.c: desreferencia de puntero nulo
• Error # 2275: ConfgetInt en conf.c: desreferencia de puntero nulo
• Error # 2276: conf: desreferencia de puntero NULL en CoredumpLoadConfig
• Error # 2293: reglas: profundidad & lt; reglas de contenido no rechazadas
• Error # 2324: segfault en http_start (4.0.x)
• Error # 2325: Segfaults de Suricata en ICMP y verificación de flujo (4.0.x)

Qué hay de nuevo en la versión 4.0.1:

• Detección mejorada:
• Basándonos en valiosos comentarios de los equipos de redacción de reglas en Amenazas emergentes y Tecnologías positivas, hemos agregado y mejorado muchas palabras clave de reglas para inspeccionar HTTP, SSH y otros protocolos. Las adiciones de TLS fueron contribuidas por Mats Klepsland en NorCERT, incluida la decodificación, el registro y la coincidencia en los números de serie de TLS. Además, Suricata ahora permite a los redactores de reglas especificar quién es el objetivo en una firma. Esta información se usa en el registro EVE JSON para dar más contexto con las alertas.
• TLS mejorado, NFS agregado:
• Más en el lado de TLS: una nueva característica importante es el soporte para STARTTLS en SMTP y FTP. Las sesiones de TLS ahora se registrarán en estos casos. Más bondad de Mats Klepsland. Además, el registro de reanudación de la sesión de TLS ahora se admite gracias al trabajo de Ray Ruvinskiy. Las mejoras adicionales en el registro TLS fueron hechas por Paulo Pacheco.
• La decodificación, el registro y la extracción de archivos de NFS se agregaron como parte del soporte experimental de Rust. Siga leyendo para obtener más información sobre Rust.
• Más EVE JSON:
• EVE se extiende de varias maneras ...
• en el caso del tráfico encapsulado, tanto las direcciones IP internas como las externas y los puertos se registran
• la instalación 'vars' registra bitios de flujo y otros vars. Esto también se puede usar para registrar datos extraídos del tráfico usando una declaración PCRE en reglas
• EVE ahora se puede rotar en función del tiempo
• EVE se amplió para registrar opcionalmente los cuerpos de solicitud y / o respuesta HTTP
• el registro de flujo (parcial) se agrega a los registros de alerta.
• La función 'vars' es una de las principales mejoras aquí, ya que ahora es posible que una firma extraiga información con precisión para el registro. Por ejemplo, una firma puede extraer una versión de software anunciada u otra información tal como el destinatario de un correo electrónico. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Primer paso hacia un futuro más seguro:
• Esta es la primera versión en la que implementamos partes en el lenguaje Rust utilizando el marco del analizador Nom. Este trabajo está inspirado en la charla de Pierre Chiffliers (ANSSI) en SuriCon 2016 (pdf). Al compilar con -enable-rust obtendrá un analizador NFS básico y una reimplementación del analizador DNS. Los comentarios sobre esto son muy apreciados.
• El soporte de Rust sigue siendo experimental, ya que seguimos explorando cómo funciona, funciona y qué se necesitará para respaldarlo en la comunidad. Además, incluimos el trabajo de los analizadores de Rust de Pierre Chiffliers. Esto utiliza "cajas" de analizador de Rust externas y se habilita mediante -enable-rust-experimental. Inicialmente, esto agrega un analizador NTP.
• Debajo del capó:
• Se incluye una importante actualización de motor de secuencia TCP. Esto debería conducir a un mejor rendimiento y menos configuración, especialmente en el modo IPS. Se tomaron los primeros pasos en la recuperación TCP GAP, con implementaciones para DNS y NFS.
• Para los desarrolladores, este lanzamiento hace que la extensión del motor de detección con palabras clave de alto rendimiento sea mucho más fácil. Agregar una nueva palabra clave de alto rendimiento con la coincidencia de múltiples patrones ahora solo requiere unas pocas líneas de código.
• Documentación:
• David Wharton de SecureWorks ha creado una sección en la documentación para escritores de reglas con experiencia en Snort. Documenta los cambios que son relevantes para escribir reglas.
• Pasos siguientes:
• En función de los comentarios que obtendremos, esperamos lanzar una versión 4.0.1 en un mes más o menos. Luego, comenzaremos a trabajar en la próxima versión principal, que es 4.1. Esto está planeado para fines de otoño, ETA antes de SuriCon en Praga.

Qué hay de nuevo en la versión 4.0.0:

• Detección mejorada:
• Basándonos en valiosos comentarios de los equipos de redacción de reglas en Amenazas emergentes y Tecnologías positivas, hemos agregado y mejorado muchas palabras clave de reglas para inspeccionar HTTP, SSH y otros protocolos. Las adiciones de TLS fueron contribuidas por Mats Klepsland en NorCERT, incluida la decodificación, el registro y la coincidencia en los números de serie de TLS. Además, Suricata ahora permite a los redactores de reglas especificar quién es el objetivo en una firma. Esta información se usa en el registro EVE JSON para dar más contexto con las alertas.
• TLS mejorado, NFS agregado:
• Más en el lado de TLS: una nueva característica importante es el soporte para STARTTLS en SMTP y FTP. Las sesiones de TLS ahora se registrarán en estos casos. Más bondad de Mats Klepsland. Además, el registro de reanudación de la sesión de TLS ahora se admite gracias al trabajo de Ray Ruvinskiy. Las mejoras adicionales en el registro TLS fueron hechas por Paulo Pacheco.
• La decodificación, el registro y la extracción de archivos de NFS se agregaron como parte del soporte experimental de Rust. Siga leyendo para obtener más información sobre Rust.
• Más EVE JSON:
• EVE se extiende de varias maneras ...
• en el caso del tráfico encapsulado, tanto las direcciones IP internas como las externas y los puertos se registran
• la instalación 'vars' registra bitios de flujo y otros vars. Esto también se puede usar para registrar datos extraídos del tráfico usando una declaración PCRE en reglas
• EVE ahora se puede rotar en función del tiempo
• EVE se amplió para registrar opcionalmente los cuerpos de solicitud y / o respuesta HTTP
• el registro de flujo (parcial) se agrega a los registros de alerta.
• La función 'vars' es una de las principales mejoras aquí, ya que ahora es posible que una firma extraiga información con precisión para el registro. Por ejemplo, una firma puede extraer una versión de software anunciada u otra información tal como el destinatario de un correo electrónico. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Primer paso hacia un futuro más seguro:
• Esta es la primera versión en la que implementamos partes en el lenguaje Rust utilizando el marco del analizador Nom. Este trabajo está inspirado en la charla de Pierre Chiffliers (ANSSI) en SuriCon 2016 (pdf). Al compilar con -enable-rust obtendrá un analizador NFS básico y una reimplementación del analizador DNS. Los comentarios sobre esto son muy apreciados.
• El soporte de Rust sigue siendo experimental, ya que seguimos explorando cómo funciona, funciona y qué se necesitará para respaldarlo en la comunidad. Además, incluimos el trabajo de los analizadores de Rust de Pierre Chiffliers. Esto utiliza "cajas" de analizador de Rust externas y se habilita mediante -enable-rust-experimental. Inicialmente, esto agrega un analizador NTP.
• Debajo del capó:
• Se incluye una importante actualización de motor de secuencia TCP. Esto debería conducir a un mejor rendimiento y menos configuración, especialmente en el modo IPS. Se tomaron los primeros pasos en la recuperación TCP GAP, con implementaciones para DNS y NFS.
• Para los desarrolladores, este lanzamiento hace que la extensión del motor de detección con palabras clave de alto rendimiento sea mucho más fácil. Agregar una nueva palabra clave de alto rendimiento con la coincidencia de múltiples patrones ahora solo requiere unas pocas líneas de código.
• Documentación:
• David Wharton de SecureWorks ha creado una sección en la documentación para escritores de reglas con experiencia en Snort. Documenta los cambios que son relevantes para escribir reglas.
• Pasos siguientes:
• En función de los comentarios que obtendremos, esperamos lanzar una versión 4.0.1 en un mes más o menos. Luego, comenzaremos a trabajar en la próxima versión principal, que es 4.1. Esto está planeado para fines de otoño, ETA antes de SuriCon en Praga.

Qué hay de nuevo en la versión 3.2.1:

• Característica n. ° 1951: permitir la construcción sin archivo / libmagic
• Función # 1972: SURICATA ICMPv6 tipo desconocido 143 para informe MLDv2
• Característica n.º 2010: Suricata debería confirmar la presencia de SSSE3 en el tiempo de ejecución cuando se haya creado con soporte de Hyperscan
• Error # 467: compilación con unittest y validación de depuración
• Error # 1780: las etiquetas VLAN no se reenviaron en el modo en línea afpacket
• Error # 1827: Mpm AC no puede asignar memoria
• Error # 1843: Mpm Ac: desbordamiento de int durante init
• Error # 1887: pcap-log establece snaplen en -1
• Error # 1946: no se puede obtener información de respuesta en alguna situación
• Error # 1973: suricata no se inicia debido a un socket de Unix
• Error # 1975: fuga de memoria hostbits / xbits
• Error # 1982: tls: activa el evento de registro no válido en el tráfico válido
• Error # 1984: http: problema de detección de protocolo si ambos lados están mal formados
• Error # 1985: pcap-log: pérdidas menores de memoria
• Error # 1987: archivos log-pcap: pcap creados con snaplen no válido
• Error # 1988: error tls_cert_subject
• Error # 1989: detección de protocolo SMTP distingue entre mayúsculas y minúsculas
• Error # 1991: Suricata no puede analizar puertos: & quot;! [1234, 1235] & quot;
• Error # 1997: tls-store: error que hace que Suricata se cuelgue
• Error # 2001: Manejo de respuestas DNS no solicitadas.
• Error # 2003: el cuerpo de BUG_ON a veces contiene un código de lado-efecto
• Error # 2004: cálculo de hash de archivo no válido cuando se usa forzar-hash
• Error # 2005: Tamaños incoherentes entre petición, captura y longitud http
• Error # 2007: smb: la detección de protocolo solo verifica el servidor
• Error # 2008: Suricata 3.2, pcap-log ya no funciona debido a timestamp_pattern PCRE
• Error # 2009: Suricata no puede descargar la configuración cuando se ejecuta en modo no raíz
• Error # 2012: dns.log no registra consultas sin respuesta
• Error # 2017: EVE Log Missing Fields
• Error # 2019: problema de evasión de defraudación de IPv4
• Error # 2022: dns: lectura de memoria sin límite

Qué hay de nuevo en la versión 3.2:

• Grandes cambios:
• puentear
• prefiltro: palabras clave de paquete rápido
• Mejoras de TLS
• Adiciones de protocolo SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 para la coincidencia, el registro y la extracción de archivos
• Documentación de Sphinx
• Cambios menores visibles:
• Descarga de NIC inhabilitada de forma predeterminada
• socket de comando de Unix habilitado por defecto
• Estadísticas de la capa de aplicación
• Debajo del capó:
• Simplificación de subprocesamiento (log api + no más reinicios de subprocesos)
• optimización del administrador de flujo
• simplifica la adición de palabras clave
• mejoras de luajit en el manejo de la memoria wrt en implementaciones grandes

Qué hay de nuevo en la versión 3.1.2:

• Característica n. ° 1830: etiqueta de soporte en el registro de vísperas
• Característica n.º 1870: hacer que el flujo_id registrado sea más exclusivo
• Característica n. ° 1874: soporte de Cisco Fabric Path / DCE
• Característica # 1885: víspera: agregue la opción para registrar todos los paquetes caídos
• Característica # 1886: dns: filtrado de salida
• Error # 1849: alerta de suma de comprobación incorrecta de ICMPv6 si Ethernet FCS está presente
• Error # 1853: corregir el búfer de dce_stub_data
• Error # 1854: unificado2: el registro de paquetes etiquetados no funciona
• Error # 1856: dispositivo en modo PCAP no encontrado
• Error # 1858: muchos datos de solicitud duplicados / opción duplicada TCP 'después de actualizar de 3.0.1 a 3.1.1
• Error # 1878: dns: falla mientras se registran los registros sshfp
• Error # 1880: los paquetes de error icmpv4 pueden llevar a la detección perdida en tcp / udp
• Error # 1884: libhtp 0.5.22

Qué hay de nuevo en la versión 3.1.1:

• Característica n. ° 1775: Lua: soporte SMTP
• Error # 1419: problemas de manejo de transacciones DNS
• Error # 1515: Problema con Threshold.config cuando se usa más de una IP
• Error # 1664: las consultas DNS no respondidas no se registran cuando se agota el flujo
• Error # 1808: no se puede establecer la prioridad de los hilos después de soltar los privilegios
• Error # 1821: Suricata 3.1 no puede iniciarse en CentOS6
• Error # 1839: suricata 3.1 configure.ac dice & gt; = libhtp-0.5.5, pero & gt; = libhtp-0.5.20 requerido
• Error # 1840: -list-keywords y -list-app-layer-protos no funcionan
• Error # 1841: libhtp 0.5.21
• Error # 1844: netmap: el modo IPS no establece 2nd iface en modo promisc
• Error # 1845: se bloquea al deshabilitar un protocolo de capa de aplicación cuando todavía está habilitado el registrador
• Optimización # 1846: af-packet: mejorar la lógica de cálculo de hilo
• Optimización # 1847: reglas: no avise sobre archivos vacíos

Qué hay de nuevo en la versión 3.0.1:

• opciones de detección mejoradas, incluidas multi-tenancy y xbits
• el rendimiento y la escalabilidad mejoraron mucho
• precisión y robustez mejoradas
• Las funciones de scripts de Lua se expandieron significativamente
• muchas mejoras de salida, incluyendo mucho más JSON
• Compatibilidad con el método de captura de NETMAP, especialmente interesante para los usuarios de FreeBSD
• Inspección de SMTP y extracción de archivos

¿Qué hay de nuevo en la versión 3.0:

• opciones de detección mejoradas, incluidas multi-tenancy y xbits
• el rendimiento y la escalabilidad mejoraron mucho
• precisión y robustez mejoradas
• Las funciones de scripts de Lua se expandieron significativamente
• muchas mejoras de salida, incluyendo mucho más JSON
• Compatibilidad con el método de captura de NETMAP, especialmente interesante para los usuarios de FreeBSD
• Inspección de SMTP y extracción de archivos

Qué hay de nuevo en la versión 2.0.9:

• Cambios:
• Error # 1385: problema de análisis de tráfico DCERPC
• Error # 1391: problema de análisis http uri
• Error # 1383: problema de la ventana midstream de tcp
• Error # 1318: un problema de sincronización de hilo en streamTCP
• Bug # 1375: Regresiones en la opción de palabras clave de la lista
• Error # 1387: pcap-file se cuelga en sistemas sin soporte atómico
• Error # 1395: fallas en el comando de socket unix de contadores de vuelco
• Optimización # 1376: la lista de archivos no se limpia
• Seguridad:
• El problema de análisis DCERPC tiene asignado CVE-2015-0928.

Qué hay de nuevo en la versión 2.0.7:

• Cambios:
• Error # 1385: problema de análisis de tráfico DCERPC
• Error # 1391: problema de análisis http uri
• Error # 1383: problema de la ventana midstream de tcp
• Error # 1318: un problema de sincronización de hilo en streamTCP
• Bug # 1375: Regresiones en la opción de palabras clave de la lista
• Error # 1387: pcap-file se cuelga en sistemas sin soporte atómico
• Error # 1395: fallas en el comando de socket unix de contadores de vuelco
• Optimización # 1376: la lista de archivos no se limpia
• Seguridad:
• El problema de análisis DCERPC tiene asignado CVE-2015-0928.

Qué hay de nuevo en la versión 2.0.6:

• Error # 1364: problemas de evasión
• Error # 1337: salida-json: registro duplicado
• Error # 1325: la detección de tls conduce a las brechas de secuencia de reensamblado de flujo de tcp (IPS)
• Error # 1192: Suricata no compila en OS X / Clang debido a la redefinición de las funciones de cadena
• Error # 1183: pcap: advertencia de comprobación de cpp

Qué hay de nuevo en la versión 2.0.5:

• Error # 1190: la palabra clave http_header no coincide cuando SYN | ACK y ACK desaparecidos
• Error # 1246: el socket del dominio Unix de salida EVE no funciona
• Error # 1272: Segfault en libhtp 0.5.15
• Error # 1298: problema de análisis de palabra clave de almacén de archivos
• Error # 1303: mejorar la detección de la 'actualización de la ventana defectuosa'
• Error # 1304: mejora el manejo de flujo de los malos valores de SACK
• Error # 1305: corregir la reutilización de la sesión tcp para sesiones ssh / ssl
• Error # 1307: byte_extract, en combinación no funciona
• Error # 1326: captura de pcre pkt / flowvar rota para coincidencias no relativas
• Error # 1329: regla no válida que se procesa y carga
• Error # 1330: Error de contabilidad de memoria de flujo (2.0.x)

Qué hay de nuevo en la versión 2.0.4:

• Cambios:
• Error # 1276: problema de desfragmentación de ipv6 con los encabezados de enrutamiento
• Error # 1278: problema del analizador de pancartas ssh
• Error # 1254: fallo de análisis de sig en la palabra clave malformada de rev
• Error # 1267: problema con el registro de ipv6
• Error # 1273: Lua - http.request_line no funciona
• Error # 1284: AF_PACKET Modo IPS no registra caídas y emisión en línea de flujo
• Seguridad:
• CVE-2014-6603

Qué hay de nuevo en la versión 2.0.3:

• Error # 1236: soluciona un posible bloqueo en el análisis de http
• Error # 1244: problema de desfragmentación de ipv6
• Error # 1238: posible evasión en stream-tcp -sambsemble.c
• Error # 1221: tabla de conversión en minúsculas que falta el último valor
• Soporte n.º 1207: No se puede compilar en CentOS 5 x64 con -enable-profiling
• Actualizó libhtp empaquetado a 0.5.15

Qué hay de nuevo en la versión 2.0 RC1:

• Se agregó la salida JSON unificada. El manejo de la VLAN fue mejorado.
• Se agregó compatibilidad con QinQ.
• Se agregó una opción de línea de comandos para anular la configuración.
• Se mejoró el manejo de ICMPv6.
• Se agregaron Memcaps para el manejo de DNS y HTTP.
• Se realizaron varias mejoras en la captura de paquetes.
• Se agregó un modo de ejecución de NSM optimizado.
• Se corrigieron muchos otros problemas.

Novedades en la versión 2.0 Beta 2:

• Se mejoró la compatibilidad con VLAN.
• Se agregaron las opciones de IP Defrag.
• Se agregaron opciones para habilitar y deshabilitar analizadores de protocolos.
• Se mejoró la detección de protocolo.
• Se realizaron mejoras en IPv6.
• Se mejoró la inspección de HTTP.
• Las opciones de creación de perfiles se expandieron.
• Se hicieron muchos más cambios.

Qué hay de nuevo en la versión 1.4.7:

• Soluciones:
• Error # 996: palabra clave de la etiqueta: las sesiones de etiquetado por tiempo están rotas
• Error # 1000: detección retardada en sus umbrales antes de de_ctx
• Error # 1001: problema de carga de ip_rep con valores múltiples para una sola ip
• Error # 1022: StreamTcpPseudoPacketSetupHeader: la lógica de intercambio de puerto no es consistente
• Error # 1047: detectar-engine.profile - análisis de valor personalizado roto
• Bug # 1063: ordenamiento de reglas con múltiples vars

¿Qué hay de nuevo en la versión 1.4.6:

• Error 958: registros SSL malformados que provocan la falla. Reportado por Sebastian Roschke. CVE-2013-5919.
• Error 971: lectura de la memoria de fuera de límites del emparejador de AC AC.
• Error 965: mejora el manejo de contenidos negados. Reportado por Will Metcalf.
• Error 937: corregir la decodificación de IPv6 en IPv6.
• Error 934: mejorar el análisis de direcciones.
• Error 969: arreglar unificado2 no registrando paquetes etiquetados.

Qué hay de nuevo en la versión 1.4.5:

• Se corrigieron los problemas de IPv6.