Suricata 6 lançado com suporte para HTTP/2, melhorias e muito mais

E foi lançado o Suricata 6 com suporte para HTTP/2, melhorias em protocolos/desempenho e muito mais. Confira as novidades e veja como instalar.

O Suricata é um mecanismo de detecção de ameaças de rede gratuito e de código aberto, maduro, rápido e robusto. Ele é baseado em um conjunto de regras desenvolvido externamente para monitorar o tráfego de rede e fornecer alertas ao administrador do sistema quando ocorrerem eventos suspeitos.

Seu engine é capaz de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento de pcap offline.

Ou seja, ele é um sistema de detecção e prevenção de intrusão de rede que fornece um meio de fiscalizar vários tipos de tráfego.

Agora, após um ano de desenvolvimento, a Open Information Security Foundation (OISF) anunciou, por meio de uma postagem em blog, o lançamento da nova versão do Suricata 6.0.

Novidades do Suricata 6

Suricata 6 lançado com suporte para HTTP/2, melhorias e muito mais
Suricata 6 lançado com suporte para HTTP/2, melhorias e muito mais

Nesta nova edição são apresentadas várias melhorias interessantes, como suporte para HTTP/2, melhorias em vários protocolos, melhorias de desempenho, entre outras alterações.

Sim. Nesta nova versão do Suricata 6.0 poderemos encontrar o suporte inicial para HTTP/2 com o qual se introduzem inúmeras melhorias como o uso de uma única conexão, a compressão de cabeçalhos, entre outras coisas.

Além disso, o suporte para os protocolos RFB e MQTT foi incluído, incluindo definição de protocolo e recursos de registro.

O desempenho de registro também foi significativamente aprimorado por meio do mecanismo EVE, que fornece saída de evento JSON. A aceleração é alcançada graças ao uso do novo gerador de coletor JSON, escrito na linguagem Rust.

A escalabilidade do sistema de registro EVE foi aumentada e a capacidade de manter um arquivo de registro de hotel para cada transmissão foi implementada.

Além disso, Suricata 6.0 introduz uma nova linguagem de definição de regra que adiciona suporte para o parâmetro from_end na palavra-chave byte_jump e o parâmetro bitmask em byte_test.

Para completar, a palavra-chave pcrexform foi implementada para permitir que expressões regulares (pcre) capturem uma substring.

A capacidade de refletir endereços MAC no registro EVE e aumentar os detalhes do registro DNS.

Das outras mudanças que se destacam nesta nova versão:

  • Adicionada conversão de urldecode.
  • Adicionada palavra-chave byte_math.
  • Capacidade de registro para o protocolo DCERPC. A capacidade de definir condições para despejar informações no registro.
  • Desempenho aprimorado do motor de fluxo.
  • Suporte para identificação de implementações SSH (HASSH).
  • Implementação do decodificador de túnel GENEVE.
  • Código Rust reescrito para lidar com ASN.1, DCERPC e SSH. Rust também suporta novos protocolos.
  • Fornece a capacidade de usar cbindgen para gerar links em Rust e C.
  • Adicionado suporte inicial a plugins.

Para saber mais sobre essa versão do Suricata, acesse a nota de lançamento.

Como instalar ou atualizar o Suricata 6

Para instalar a versão mais recente do Suricata no Ubuntu e derivados, use esse tutorial:
Como instalar o utilitário de segurança Suricata no Ubuntu e derivados

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.