Suricata 7 lançado com suporte para Landlock, melhorias, e mais

E foi lançado o Suricata 7 com suporte para Landlock, melhorias, e mais. Confira as novidades e veja como instalar no Linux.

O Suricata é um mecanismo de detecção de ameaças de rede gratuito e de código aberto, maduro, rápido e robusto. Ele é baseado em um conjunto de regras desenvolvido externamente para monitorar o tráfego de rede e fornecer alertas ao administrador do sistema quando ocorrerem eventos suspeitos.

Seu engine é capaz de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento de pcap offline.

Ou seja, ele é um sistema de detecção e prevenção de intrusão de rede que fornece um meio de fiscalizar vários tipos de tráfego.

Agora, após dois anos e meio de desenvolvimento, a OISF anunciou o lançamento da nova versão do sistema de detecção e prevenção de invasões, Suricata 7, que fornece ferramentas para inspecionar diversos tipos de tráfego.

Novidades do Suricata 7

Suricata 7 lançado com suporte para Landlock, melhorias, e mais

Nesta nova versão do Suricata 7.0, uma das mudanças mais notáveis ​​é a adição de suporte ao mecanismo de isolamento de aplicativos Landlock, que permite um processo de criação de ambientes isolados seguros, implementado como uma camada adicional sobre os mecanismos de controle de acesso ao sistema existente.

A lógica para conceder acesso é determinada usando um programa BPF, mas ao contrário do seccomp-bpf, o Landlock não filtra as chamadas do sistema e seus argumentos, mas permite restringir o uso de objetos do kernel, como hierarquias de arquivos (por exemplo, negar acesso a arquivos fora do diretório de trabalho).

Outra das mudanças que se destaca do Suricata 7.0 é que a capacidade de acelerar os componentes de detecção de intrusão (IDS) foi implementada através do mecanismo AF_XDP, que permite capturar pacotes redirecionando-os para um controlador de espaço do usuário, sem passar pela rede do kernel pilha.

Além disso, destaca-se também que foi declarado suporte estável para o protocolo HTTP/2, pois anteriormente os componentes para HTTP/2 eram apresentados como experimentais.

Para HTTP/2, foi implementado suporte para compactação usando o método deflate e solicitações especificando o intervalo de bytes solicitado (intervalo de bytes).

Também podemos descobrir que a capacidade de registrar seletivamente o PCAP usando a opção “condicional” na seção “pcap-log” foi adicionada no Suricata 7.

Por padrão, todos os pacotes são registrados no arquivo pcap, se o valor de alerts for definido como a opção condicional, o log mostrará apenas os threads para os quais os avisos foram gerados. Com o valor tag, apenas pacotes com determinadas tags podem ser cadastrados.

Por outro lado, é mencionado que o suporte para a estrutura DPDK (Data Plane Development Kit) foi adicionado para melhorar o desempenho dos componentes de detecção de intrusão (IDS) e prevenção de intrusão (IPS) ao trabalhar diretamente com equipamentos de rede e processando pacotes de rede sem passar pela pilha de rede do kernel.

Em uma implementação do Intrusion Prevention System (IPS), por padrão, as regras com exceções usam pacotes descartados (operação DROP) e o subsistema de log EVE foi documentado e validado usando o esquema JSON para fornecer a saída JSON de eventos.

Das outras mudanças que se destacam no Suricata 7, temos:

  • Adicionado suporte para a API NETMAP 14.
  • Adicionadas novas palavras-chave para inspeção de cabeçalho de protocolo HTTP e HTTP2
  • Implementada a capacidade de detectar e salvar certificados TLS do cliente no registro.
  • Adicionado um analisador para o protocolo Bittorrent.
  • Uma implementação inicial da biblioteca libsuricata é proposta para usar a funcionalidade do Suricata em outros produtos.
  • Adicionado suporte para VLAN Layer 3.
  • Otimizações de desempenho e consumo de memória implementadas
  • Contadores adicionados para transmissões ativas e pacotes TCP.

Para saber mais sobre essa versão do Suricata, acesse a nota de lançamento.

Como instalar ou atualizar o Suricata 6

Para instalar a versão mais recente do Suricata no Ubuntu e derivados, use esse tutorial:
Como instalar o utilitário de segurança Suricata no Ubuntu e derivados

Deixe um comentário

Sair da versão mobile