Suricata (програма)

Suricata — система виявлення і попередження мережевих вторгнень. Програма була розроблена Open Information Security Foundation. Бета-версія вийшла у грудні 2009, перший стандартний випуск вийшов у липні 2010.^[1][2]

Сирцеві тексти проекту поширюються під ліцензією GPLv2.

Особливості [ред.]

• Система відрізняється підтримкою прискорення роботи через задіяння обчислень на стороні GPU (CUDA і OpenCL), підтримує багатонитевість для оптимального задіяння потужностей багатоядерних систем і має розвинуті засоби інспектування різних видів трафіку. У конфігураціях Suricata допустимо задіяння бази сигнатур, що розвивається проектом Snort, а також наборів правил Emerging Threats і Emerging Threats Pro.
• Використання для виведення результатів перевірки уніфікованого формату Unified2, також використовуваного проектом Snort, що дозволяє використовувати стандартні інструменти для аналізу, такі як barnyard2. Можливість інтеграції з продуктами BASE, Snorby, Sguil і SQueRT. Підтримка виводу у форматі PCAP;
• Підтримка автоматичного визначення протоколів (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB тощо), що дозволяє оперувати в правилах тільки типом протоколу, без прив'язки до номера порту (наприклад, блокувати HTTP трафік на нестандартному порту). Наявний декодувальник для протоколів HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
• Потужна система аналізу HTTP-трафіку, що використовує для розбору і нормалізації HTTP-трафіку спеціальну бібліотеку HTP, створену автором проекту Mod_Security. Доступний модуль для ведення докладного журналу транзитних HTTP пересилань, лог зберігається в стандартному форматі Apache. Підтримується витяг і перевірка переданих за протоколом HTTP файлів. Підтримка розбору стисненого контенту. Можливість ідентифікації за URI, Cookie, заголовкам, user-agent, тілу запиту/відповіді;
• Підтримка різних інтерфейсів для перехоплення трафіку, в тому числі NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можливий аналіз вже збережених файлів у форматі PCAP;
• Висока продуктивність, здатність обробляти на звичайному обладнанні потоки до 10 гігабіт/сек.
• Високопродуктивний механізм зіставлення по масці з великими наборами IP-адрес. Підтримка виділення контенту за маскою і регулярними виразами. Виділення файлів з трафіку, в тому числі їхня ідентифікація за іменем, типом або контрольною сумою MD5
• Можливість використання змінних в правилах: можна зберегти інформацію з потоку і пізніше використовувати її в інших правилах;
• Використання формату YAML у файлах конфігурації, що дозволяє зберегти наочність при легкості машинної обробки;
• Повна підтримка IPv6;
• Вбудований рушій для автоматичної дефрагментації і перезбирання пакетів, що дозволяє забезпечити коректну обробку потоків, незалежно від порядку надходження пакетів;
• Підтримка протоколів тунелювання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Підтримка декодування пакетів: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• Режим ведення логу ключів і сертифікатів, які фігурують в рамках з'єднань TLS/SSL;
• Можливість написання скриптів на мові Lua для забезпечення розширеного аналізу і реалізації додаткових можливостей, необхідних для визначення видів трафіку, для яких не досить стандартних правил.

Виноски [ред.]

Посилання [ред.]

• Open Information Security Foundation: Suricata
• Open Information Security Foundation
• Шаблон:Freshmeat
• Suricata website

На цю статтю не посилаються інші статті Вікіпедії. Будь ласка, скористайтеся підказкою та розставте посилання відповідно до прийнятих рекомендацій.