E foi lançado o Suricata 6 com suporte para HTTP/2, melhorias em protocolos/desempenho e muito mais. Confira as novidades e veja como instalar.
O Suricata é um mecanismo de detecção de ameaças de rede gratuito e de código aberto, maduro, rápido e robusto. Ele é baseado em um conjunto de regras desenvolvido externamente para monitorar o tráfego de rede e fornecer alertas ao administrador do sistema quando ocorrerem eventos suspeitos.
Seu engine é capaz de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento de pcap offline.
Ou seja, ele é um sistema de detecção e prevenção de intrusão de rede que fornece um meio de fiscalizar vários tipos de tráfego.
Agora, após um ano de desenvolvimento, a Open Information Security Foundation (OISF) anunciou, por meio de uma postagem em blog, o lançamento da nova versão do Suricata 6.0.
Novidades do Suricata 6
Nesta nova edição são apresentadas várias melhorias interessantes, como suporte para HTTP/2, melhorias em vários protocolos, melhorias de desempenho, entre outras alterações.
Sim. Nesta nova versão do Suricata 6.0 poderemos encontrar o suporte inicial para HTTP/2 com o qual se introduzem inúmeras melhorias como o uso de uma única conexão, a compressão de cabeçalhos, entre outras coisas.
Além disso, o suporte para os protocolos RFB e MQTT foi incluído, incluindo definição de protocolo e recursos de registro.
O desempenho de registro também foi significativamente aprimorado por meio do mecanismo EVE, que fornece saída de evento JSON. A aceleração é alcançada graças ao uso do novo gerador de coletor JSON, escrito na linguagem Rust.
A escalabilidade do sistema de registro EVE foi aumentada e a capacidade de manter um arquivo de registro de hotel para cada transmissão foi implementada.
Além disso, Suricata 6.0 introduz uma nova linguagem de definição de regra que adiciona suporte para o parâmetro from_end na palavra-chave byte_jump e o parâmetro bitmask em byte_test.
Para completar, a palavra-chave pcrexform foi implementada para permitir que expressões regulares (pcre) capturem uma substring.
A capacidade de refletir endereços MAC no registro EVE e aumentar os detalhes do registro DNS.
Das outras mudanças que se destacam nesta nova versão:
- Adicionada conversão de urldecode.
- Adicionada palavra-chave byte_math.
- Capacidade de registro para o protocolo DCERPC. A capacidade de definir condições para despejar informações no registro.
- Desempenho aprimorado do motor de fluxo.
- Suporte para identificação de implementações SSH (HASSH).
- Implementação do decodificador de túnel GENEVE.
- Código Rust reescrito para lidar com ASN.1, DCERPC e SSH. Rust também suporta novos protocolos.
- Fornece a capacidade de usar cbindgen para gerar links em Rust e C.
- Adicionado suporte inicial a plugins.
Para saber mais sobre essa versão do Suricata, acesse a nota de lançamento.
Como instalar ou atualizar o Suricata 6
Para instalar a versão mais recente do Suricata no Ubuntu e derivados, use esse tutorial:
Como instalar o utilitário de segurança Suricata no Ubuntu e derivados