Suricata 8 dobiva osvježenje s vatrozidom, poboljšanjima performansi i više protokola.

Darkcrizt

4 minuta

Meerkat

Zaklada za otvorenu sigurnost informacija (OISF) prije nekoliko je dana najavila izlazak nove verzije Suricate 8.0, verzije koja označava veliki skok u funkcionalnosti, performansama i sigurnosti ovog sustava za otkrivanje i sprječavanje upada (IDS/IPS).

Nakon dvije godine razvoja, Suricata je pozicionirana kao robusnije i fleksibilnije rješenje, s eksperimentalnim mogućnostima vatrozida, sigurnijim Lua okruženjem, optimiziranim mehanizmom i opsežnom podrškom za nove protokole.

Glavne vijesti Suricata 8.0

Jedna od istaknutih značajki je novi način rada vatrozidaDa omogućuje korištenje formaliziranog dijalekta jezika pravila Suricatino filtriranje paketa u stvarnom vremenu. Iako se smatra eksperimentalnom, ova značajka označava početak bliže integracije između aktivnog otkrivanja i sprječavanja prijetnji.

Ovaj novi vatrozid implementira zadanu politiku odbacivanja, procjenjuje pravila na temelju "kuki" stanja protokola i zahtijeva eksplicitnu definiciju dopuštenog prometa.

Još jedna nova značajka u Suricati 8.0 je ta što sada uključuje Lua 5.4 ugrađen prema zadanim postavkama, To osigurava dosljednost u svim okruženjima. Osim toga, Lua radi u sigurnosnom sandboxu koji sprječava visokorizične radnje kao što su:

  • Pisanje u datoteke.
  • Otvaranje utičnica ili pristup operativnom sustavu.
  • Učitavanje modula trećih strana.

Osim toga, pravila temeljena na Lua jeziku omogućena su prema zadanim postavkama i mogu se proširiti korištenjem sigurnih biblioteka koje je dokumentirao OISF.

Poboljšanja performansi i arhitekture

Suricatin sustav za detekciju je višestruko optimiziran:

  • Predviđanje grananja i poboljšanje hash funkcije.
  • Brže PCAP čitanje s većim međuspremnicima.
  • Brže pokretanje s poboljšanim grupiranjem portova i keširanjem uzoraka.
  • Optimizacija i ponovno sastavljanje sinkronizacije streama.

Suricata 8.0 također omogućuje dinamičku registraciju dodataka i analizatora protokola, omogućavanje prilagođenih proširenja bez mijenjanja glavnog izvornog koda.

Prelazak na Rust: Više sigurnosti i performansi

Osim toga, u Suricati 8.0, nekoliko kritičnih modula je prepisano u Rustu kako bi se poboljšala sigurnost i robusnost sustava. To uključuje:

  • LibHTP (parsiranje HTTP-a).
  • Podrška za FTP, ENIP, MIME, base64, byte_extract.
  • Dekoderi za SIP, MQTT, RFB i SNMP.
  • Naredba suricatasc je također prenesena na Rust.

Osim toga, Suricata 8.0 također uključuje podršku za nekoliko novih protokola i značajki analize:

  • DNS preko HTTPS-a (DoH)
  • LDAP
  • mDNS (Multicast DNS)
  • POP3 (s dekoderom i loggerom)
  • WebSocket
  • SDP preko SIP-a i SIP preko TCP-a
  • ARP (novi dekoder i logger)

Nova pravila i otkrivanje

Nova verzija uključuje prošireni skup ključnih riječi i mogućnosti za pisanje složenijih i učinkovitijih pravila:

  • Transakcijska pravila: omogućuju vam opisivanje oba smjera transakcije u jednom pravilu.
  • Nove ključne riječi: entropija, from_base64, luaxform, tcp.wscale, pgsql.query, mDNS, requires.
  • Podrška za JSON podatke u skupovima podataka za obogaćivanje upozorenja.
  • Poboljšana podrška za otkrivanje na temelju odsutnosti, vlan.id-a, TLS-a, FTP-a, SMTP-a, LDAP-a, EMAIL-a i još mnogo toga.

Što se tiče proširenja, Suricata 8.0 je poboljšana sa:

  • Javni API za prilagođeno zapisivanje izlaza.
  • Dodaci za Napatech, PF_RING (sada kao vanjski dodaci).
  • Početna podrška za nDPI kao dodatak.
  • Detaljni brojači za pravila iznimki.
  • Statistike o preskočenim ponovnim sastavljanjima i ignoriranim pravilima.
  • Nove metrike za upravljanje memorijom, korištenje BPF-a i gubitak paketa.
  • Više detalja u shemama izlaza EVE-a.

Konačno, ako ste zainteresirani da možete saznati više o tome, možete pogledati detalje u sljedeći link.

Preuzimanje i dostupnost

Suricata 8.0 je sada dostupna iz službenog repozitorija. Izvorni kod se može dobiti na GitHubu ili putem paketa koje distribuira OISF za različite platforme.

Da bismo instalirali ovaj uslužni program, to možemo učiniti dodavanjem sljedećeg spremišta u naš sustav. Da biste to učinili, jednostavno upišite sljedeće naredbe:

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

U slučaju da imate problema s ovisnostima, slijedećom naredbom je riješeno:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

Instalacija gotova, preporuča se onemogućiti bilo koji paket značajki offloead na NIC-u koji Suricata sluša.

Oni mogu onemogućiti LRO / GRO na mrežnom sučelju eth0 pomoću sljedeće naredbe:

sudo ethtool -K eth0 gro off lro off

Meerkat podržava brojne načine rada. Popis svih načina izvršavanja možemo vidjeti pomoću sljedeće naredbe:

sudo /usr/bin/suricata --list-runmodes

Zadani način rada koji se koristi je autofp označava "automatsko uravnoteženje opterećenja s fiksnim protokom". U ovom načinu rada, paketi iz svakog različitog toka dodjeljuju se jednoj niti otkrivanja. Tokovi su dodijeljeni nitima s najmanjim brojem neprerađenih paketa.

Sada možemo nastaviti do pokrenite Suricata u pcap načinu uživo, koristeći sljedeću naredbu:

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal