Login
Newsletter
Werbung

So, 8. Juli 2012, 10:42

Software::Security

IDS Suricata 1.3 besser skalierbar

Die Open Information Security Foundation (OISF) hat ihr Angriffserkennungs- und Angriffsverhinderungssystem (IDS/IPS) Suricata in der Version 1.3 veröffentlicht. Suricata ist ein Netzwerk-IDS, das von moderner Hardware (Multicore-Prozessoren und Grafikkarten) Gebrauch macht. Snort-Anwender, die zu Suricata wechseln, können die meisten ihrer Regeln weiter verwenden.

Die OISF implementierte in Suricata 1.3 mehrere neue Funktionalitäten. Jetzt gibt es einen Parser für TLS/SSL-Handshakes und MD5-Summen von Dateien innerhalb eines HTTP-Streams oder gepackten Dateien werden in Echtzeit berechnet. In Regeln kann mit dem http_user_agent-Schlüsselwort der Browser abgefragt werden. Es gibt eine experimentelle Funktion, um Regeln zur Laufzeit neu zu laden, indem ein USR2-Signal an Suricata gesendet wird. Die Suricata-Konfiguration lässt sich mit der Option -T bereits vor dem Start testen und mit ac-bs ist eine neue Multi-Pattern-Engine verfügbar.

In die suricata.yaml durfen jetzt andere yaml-Dateien inkludiert werden, wodurch sich das IDS übersichtlicher konfigurieren lässt. Logdateien können im JSON-Format ausgegeben und so von anderen Anwendungen leicht weiter verarbeitet werden. Für Libcap-Wrapper, die Lastausgleich unterstützen, gibt es einen neuen Ausführungsmodus für Pcap-Worker und AF_Packet unterstützt Berkeley Packet Filter (BPF), Ringbuffer und Null-Kopien. Suricata 1.3 spielt auch mit Napatech-Aufzeichnungskarten zusammen.

Neben den neuen Funktionalitäten gibt es auch etliche Verbesserungen. Dank der fast komplett überarbeiteten Flow-Engine ist Suricata 1.3 besser skalierbar. Das IDS unterstützt PF_RING 5.4 und kann Dateien besser extrahieren. Auf HTTP-Ebene wurden das Multipart-Parsing und die GZIP-Komprimierung optimiert. Alle Neuerungen und Änderungen sind in der Ankündigung nachzulesen.

Die Suricata-Enwickler bezeichnen ihr Projekt als IDS der neuen Generation. Neben Multithreading bietet Suricata auch eine automatische Protokollerkennung und nutzt dedizierte Beschleunigungshardware, etwa NVidia-Grafikkarten via CUDA. Suricata wird unter der GPLv2 veröffentlicht. Die aktuelle Version 1.3 des IDS ist als Tar-Archiv auf der Projektwebseite verfügbar.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung