Die Open Information Security Foundation (OISF) hat vor einigen Tagen die Veröffentlichung der neuen Version von Suricata 8.0 angekündigt, einer Version, die einen großen Sprung in Bezug auf Funktionalität, Leistung und Sicherheit für dieses Intrusion Detection and Prevention System (IDS/IPS) darstellt.
Nach zwei Jahren Entwicklung präsentiert sich Suricata als robustere und flexiblere Lösung mit experimentellen Firewall-Funktionen, einer sichereren Lua-Umgebung, einer optimierten Engine und umfassender Unterstützung für neue Protokolle.
Hauptnachrichten von Suricata 8.0
Eine der vorgestellten Funktionen ist die neuer Firewall-ModusDass ermöglicht die Verwendung eines formalisierten Dialekts der Regelsprache Suricatas Echtzeit-Paketfilterung. Obwohl als experimentell angesehen, markiert diese Funktion den Beginn einer engeren Integration zwischen aktiver Bedrohungserkennung und -prävention.
Diese neue Firewall implementiert eine Standard-Drop-Policy, wertet Regeln auf Grundlage von Protokollstatus-„Hooks“ aus und erfordert eine explizite Definition des zulässigen Datenverkehrs.
Eine weitere Neuerung in Suricata 8.0 ist, dass enthält jetzt standardmäßig Lua 5.4, Dies gewährleistet Konsistenz in allen Umgebungen. Darüber hinaus läuft Lua in einer Sicherheits-Sandbox, die risikoreiche Aktionen verhindert, wie zum Beispiel:
- Schreiben in Dateien.
- Öffnen von Sockets oder Zugriff auf das Betriebssystem.
- Laden von Modulen von Drittanbietern.
Darüber hinaus sind Lua-basierte Regeln standardmäßig aktiviert und können mithilfe sicherer, von der OISF dokumentierter Bibliotheken erweitert werden.
Leistungs- und Architekturverbesserungen
Die Erkennungs-Engine von Suricata wurde mehrfach optimiert:
- Verbesserung der Verzweigungsvorhersage und Hash-Funktion.
- Schnelleres PCAP-Lesen mit größeren Puffern.
- Schnellerer Start mit verbesserter Portgruppierung und Muster-Caching.
- Optimierung und Neuzusammenstellung der Stream-Synchronisierung.
Suricata 8.0 auch ermöglicht die dynamische Registrierung von Plugins und Protokollanalysatoren, Ermöglichung benutzerdefinierter Erweiterungen ohne Änderung des Hauptquellcodes.
Umstellung auf Rust: Mehr Sicherheit und Leistung
Darüber hinaus wurden in Suricata 8.0 mehrere kritische Module in Rust neu geschrieben, um die Sicherheit und Robustheit des Systems zu verbessern. Dazu gehören:
- LibHTP (HTTP-Analyse).
- Unterstützung für FTP, ENIP, MIME, Base64, Byte_Extract.
- Decoder für SIP, MQTT, RFB und SNMP.
- Der Befehl suricatasc wurde auch auf Rust portiert.
Darüber hinaus unterstützt Suricata 8.0 auch mehrere neue Protokolle und Analysefunktionen:
- DNS über HTTPS (DoH)
- LDAP
- mDNS (Multicast-DNS)
- POP3 (mit Decoder und Logger)
- WebSocket
- SDP über SIP und SIP über TCP
- ARP (neuer Decoder und Logger)
Neue Regeln und Erkennung
Die neue Version enthält einen erweiterten Satz an Schlüsselwörtern und Funktionen zum Schreiben komplexerer und effizienterer Regeln:
- Transaktionsregeln: ermöglichen es Ihnen, beide Richtungen einer Transaktion in einer einzigen Regel zu beschreiben.
- Neue Schlüsselwörter: Entropie, from_base64, luaxform, tcp.wscale, pgsql.query, mDNS, erfordert.
- Unterstützung für JSON-Daten in Datensätzen zur Anreicherung von Warnungen.
- Verbesserte Unterstützung für die Erkennung basierend auf Abwesenheit, VLAN.ID, TLS, FTP, SMTP, LDAP, E-MAIL und mehr.
Auf der Erweiterungsseite wurde Suricata 8.0 wie folgt verbessert:
- Öffentliche API für benutzerdefinierte Ausgabeprotokollierung.
- Plugins für Napatech, PF_RING (jetzt als externe Plugins).
- Erste nDPI-Unterstützung als Add-on.
- Detaillierte Zähler für Ausnahmerichtlinien.
- Statistiken zu übersprungenen Neuzusammenstellungen und ignorierten Regeln.
- Neue Metriken für Speicherverwaltung, BPF-Nutzung und Paketverluste.
- Mehr Details in den EVE-Ausgabeschemata.
Wenn Sie daran interessiert sind, mehr darüber zu erfahren, können Sie die Details im folgenden Link
Download und Verfügbarkeit
Suricata 8.0 ist ab sofort im offiziellen Repository verfügbar. Der Quellcode ist auf GitHub oder über die von der OISF für verschiedene Plattformen bereitgestellten Pakete erhältlich.
Um dieses Dienstprogramm zu installieren, können Sie dies tun, indem Sie unserem System das folgende Repository hinzufügen. Geben Sie dazu einfach die folgenden Befehle ein:
sudo apt-get install software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
Falls Sie Probleme mit Abhängigkeiten habenMit dem folgenden Befehl wird es gelöst:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Installation abgeschlossen, Es wird empfohlen, alle Offloead-Feature-Packs zu deaktivieren auf der Netzwerkkarte, die Suricata hört.
Sie können LRO / GRO auf der eth0-Netzwerkschnittstelle mit dem folgenden Befehl deaktivieren:
sudo ethtool -K eth0 gro off lro off
Erdmännchen unterstützt eine Reihe von Betriebsarten. Wir können die Liste aller Ausführungsmodi mit dem folgenden Befehl anzeigen:
sudo /usr/bin/suricata --list-runmodes
Der standardmäßig verwendete Ausführungsmodus ist autofp und steht für "automatischer Lastausgleich mit festem Durchfluss". In diesem Modus werden Pakete von jedem unterschiedlichen Stream einem einzelnen Erkennungsthread zugewiesen. Die Flows werden den Threads mit der geringsten Anzahl unverarbeiteter Pakete zugewiesen.
Jetzt können wir fortfahren Starten Sie Suricata im PCAP-Live-Modusmit dem folgenden Befehl:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal