Intrusion-Detection: Suricata 4 nimmt NFS-Streams unter die Lupe.

Version 4 des Intrusion-Detection-Systems Suricata soll mehr Protokolle unterstützen als die Vorgängerversion und Einbrüche besser erkennen. Neu ist zudem die (derzeit noch experimentelle) Einführung von Rust als Sprache für Protokollparser. Die Entwickler versprechen sich davon eine höhere Sicherheit, weil zum Beispiel Buffer Overflows dort wegfallen. Auch die Ausgabe des Tools haben die Entwickler erweitert.

Suricata gehört zur Kategorie der Network Intrusion Detection System (NIDS), die an einem oder mehreren Knoten im Netz sitzen und dort den Traffic überwachen, aber den Verkehr tiefgreifender als etwa eine Firewall überwachen. Gefährdungen werden in Regeln (sogenannten Signaturen) definiert, die auch festlegen, wie Suricata darauf reagiert – etwa Paket verwerfen oder eine Benachrichtigung verschicken.

Mit Version 4 haben die Entwickler neue Schlüsselwörter hinzugefügt, um den Regeln mehr Spielraum zu verschaffen. Dazu gehört unter anderem das Dekodieren und Loggen von NFS-Streams – in Rust implementiert. Auch lassen sich einzelne Dateien daraus extrahieren. Zum Thema TLS hat sich auch etwas getan: STARTTLS-Sitzungen mit SMTP oder FTP schneidet Suricata jetzt mit. Ein größeres Update hat die TCP-Engine erfahren. Laut Release-Notes soll das die Performance erhöhen und die Konfiguration vereinfachen.

Auf der anderen Seite hat sich die Ausgabe verändert. Das "Extensible Event Format" (EVE), das granular konfigurierbare JSON-Daten erzeugt, ist noch etwas detaillierter geworden. Für gekapselte Pakete zum Beispiel enthält es sowohl die innere als auch die äußere IP-Adresse. HTTP-Requests und die entsprechende Response lassen sich jetzt mitloggen. Auch lassen sich deutlich mehr Variablen mitprotokollieren.

Suricata ist Open Source und unter GPLv2 veröffentlicht. Es steht auf der Homepage zum Download bereit. Die Entwicklung des Tools verwaltet die Open Information Security Foundation (OISF). (jab)