Software::Security
IDS Suricata 1.4 mit Unix-Sockets und IP-Reputation
Die Open Information Security Foundation (OISF) hat das netzwerkbasierte Einbruchserkennungssystem (NIDS) Suricata in der Version 1.4 veröffentlicht.
Suricata 1.4 kann ab jetzt mit Unix-Sockets umgehen und unterstützt IP-Reputation. Letzteres kann genutzt werden, um Rechner zu blockieren, die dafür bekannt sind, Schaden anzurichten. Mit dem neuen »Luajit«-Schlüsselwort können Administratoren Suricata anweisen, Netzwerkpakete, HTTP-Buffer und Nutzdaten mit Lua-Skripten zu untersuchen. Unix-Sockets, IP-Reputation und Luajit sind noch im experimentellen Stadium und so in produktiven Umgebungen mit Vorsicht zu genießen.
Die verzögerte Erkennungsinitialisierung kann bereits Pakete verarbeiten, während im Hintergrund noch die Erkennungs-Engine geladen wird. Nutzer und Gruppe, denen der Suricata-Prozess zugeordnet werden soll, können nun in einer Konfigurationsdatei genannt werden. Das NIDS dekodiert IPv4-in-IPv6-, IPv6-in-IPv6 sowie Teredo-Tunnel, und Regeln sind nur auf IPv4 oder IPv6-Pakete einschränkbar. Dateigrößen sind ein neues Kriterium bei der HTTP-Analyse und TLS-Zertifikate lassen sich loggen, speichern und prüfen.
Den Entwicklern ist es ferner gelungen, Suricata schneller und ein wenig benutzerfreundlicher zu machen. Alle Änderungen und Neuerungen sind in der Veröffentlichungsankündigung aufgeführt.
Suricata kann mit vielen Snort-Regeln verwendet werden. Es ist besser skalierbar als Snort und schneller. Snort ist ausführlicher dokumentiert und in den Repositorien vieler Distributionen enthalten, während Suricata oft aus den Quellen übersetzt werden muss. Die aktuelle Suricata-Version 1.4 kann von der Projektwebseite heruntergeladen werden.
