Software::Security
IDS/IPS Suricata 2.0 loggt mit Eve
Die Open Information Security Foundation (OISF) hat ihr netzwerkbasiertes Einbruchserkennungs- und Einbruchverhinderungssystem Suricata in der Version 2.0 veröffentlicht. Suricata ist in C implementiert und wird unter der GPLv2 veröffentlicht.
Open Information Security Foundation
Suricata mit Eve und Logstash Kibana
Suricata 2.0 kann mit vielen Neuerungen aufwarten. Den Entwicklern zufolge wurde das IDS/IPS schneller, genauer und besser skalierbar. Die auffälligste und größte Änderung ist »Eve«, ein Logsystem, das Ereignisse via JSON weiterleitet. Die Ereignisse können Alarmmeldungen oder Informationen zu einzelnen Protokollen und Technologien wie HTTP, DNS, SSH, TLS bzw. Dateien sein. Im neu hinzugekommenen »NSM Runmode« können Administratoren sich darauf konzentrieren, einzelne Ereignisse wie HTTP-Anfragen oder DNS-Abfragen zu loggen und mittels Erkennungsabschaltung auf eine genauere Analyse des Netzwerkverkehrs verzichten. So lassen sich der Overhead pro Paket verringern und einige rechenintensive Operationen vermeiden.
Voreingestellte YAML-Optionen lassen sich nun überschreiben, wenn Suricata mittels Kommandozeile gestartet wird. Die Entwickler nahmen einige Fehlerkorrekturen und Verbesserungen an den Paket-Schnittstellen AF_Packet und PF_Ring vor und sorgten dafür, dass Suricata besser mit dem Internet Control Message Protocol für IPv6 (ICMPv6) klar kommt.
Die neue Suricata-Version unterstützt DNS-Parser, -Logging und -Stichworte sowie X-Forwarded-For (XFF) in Unified2. Fehlerhafte Pakete lassen sich zählen und mittels http.log-Ausgaben erzeugt Suricata Logdateien im Apache-Log-Format. Es ist möglich, YAML-Dateien zu inkludieren, und die VLAN-Handhabung wurde verbessert. Für ICMPv4 und ICMPv6 können Admins Regeln hinterlegen. Ferner unterstützt Suricata nun den HTTP-Protokoll-Parser libhtp 0.5.x. Weitere Neuerungen finden sich in den Veröffentlichungsnotizen.
Suricata 2.0 ist abwärtskompatibel, so dass bestehende Installationen aktualisiert werden können. Die aktuelle Version 2.0 ist im Downloadbereich des Projekts erhältlich.
){kind=small}
