Suricata (програма)

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
Suricata
Розробник(и) Open Information Security Foundation
Стабільний випуск 1.4 (13 грудня 2012; 714 днів тому)
Написано на C
Операційна система FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Тип система виявлення атак
система запобігання вторгненням
Ліцензія GNU General Public License
Сайт suricata-ids.org

Suricata — система виявлення і попередження мережевих вторгнень. Програма була розроблена Open Information Security Foundation. Бета-версія вийшла у грудні 2009, перший стандартний випуск вийшов у липні 2010.[1][2]

Сирцеві тексти проекту поширюються під ліцензією GPLv2.

Особливості[ред.ред. код]

  • Система відрізняється підтримкою прискорення роботи через задіяння обчислень на стороні GPU (CUDA і OpenCL), підтримує багатонитевість для оптимального задіяння потужностей багатоядерних систем і має розвинуті засоби інспектування різних видів трафіку. У конфігураціях Suricata допустимо задіяння бази сигнатур, що розвивається проектом Snort, а також наборів правил Emerging Threats і Emerging Threats Pro.
  • Використання для виведення результатів перевірки уніфікованого формату Unified2, також використовуваного проектом Snort, що дозволяє використовувати стандартні інструменти для аналізу, такі як barnyard2. Можливість інтеграції з продуктами BASE, Snorby, Sguil і SQueRT. Підтримка виводу у форматі PCAP;
  • Підтримка автоматичного визначення протоколів (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB тощо), що дозволяє оперувати в правилах тільки типом протоколу, без прив'язки до номера порту (наприклад, блокувати HTTP трафік на нестандартному порту). Наявний декодувальник для протоколів HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
  • Потужна система аналізу HTTP-трафіку, що використовує для розбору і нормалізації HTTP-трафіку спеціальну бібліотеку HTP, створену автором проекту Mod_Security. Доступний модуль для ведення докладного журналу транзитних HTTP пересилань, лог зберігається в стандартному форматі Apache. Підтримується витяг і перевірка переданих за протоколом HTTP файлів. Підтримка розбору стисненого контенту. Можливість ідентифікації за URI, Cookie, заголовкам, user-agent, тілу запиту/відповіді;
  • Підтримка різних інтерфейсів для перехоплення трафіку, в тому числі NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можливий аналіз вже збережених файлів у форматі PCAP;
  • Висока продуктивність, здатність обробляти на звичайному обладнанні потоки до 10 гігабіт/сек.
  • Високопродуктивний механізм зіставлення по масці з великими наборами IP-адрес. Підтримка виділення контенту за маскою і регулярними виразами. Виділення файлів з трафіку, в тому числі їхня ідентифікація за іменем, типом або контрольною сумою MD5
  • Можливість використання змінних в правилах: можна зберегти інформацію з потоку і пізніше використовувати її в інших правилах;
  • Використання формату YAML у файлах конфігурації, що дозволяє зберегти наочність при легкості машинної обробки;
  • Повна підтримка IPv6;
  • Вбудований рушій для автоматичної дефрагментації і перезбирання пакетів, що дозволяє забезпечити коректну обробку потоків, незалежно від порядку надходження пакетів;
  • Підтримка протоколів тунелювання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Підтримка декодування пакетів: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Режим ведення логу ключів і сертифікатів, які фігурують в рамках з'єднань TLS/SSL;
  • Можливість написання скриптів на мові Lua для забезпечення розширеного аналізу і реалізації додаткових можливостей, необхідних для визначення видів трафіку, для яких не досить стандартних правил.

Виноски[ред.ред. код]

  1. «New Open Source Intrusion Detector Suricata Released». Slashdot. 2009-12-31. Архів оригіналу за 2013-08-25. Процитовано 2011-11-08. 
  2. «Suricata Downloads». Open Security Information Foundation. Архів оригіналу за 2013-08-25. Процитовано 2011-11-08. 

Посилання[ред.ред. код]