Suricata 8 は、ファイアウォール、パフォーマンスの改善、およびプロトコルの追加により刷新されました。

Darkcrizt

4分

Suricata

Open Information Security Foundation (OISF) は数日前、侵入検知および防止システム (IDS/IPS) の機能、パフォーマンス、セキュリティが大幅に向上した Suricata 8.0 の新バージョンのリリースを発表しました。

2 年間の開発を経て、Suricata は、実験的なファイアウォール機能、より安全な Lua 環境、最適化されたエンジン、新しいプロトコルの広範なサポートを備えた、より堅牢で柔軟なソリューションとして位置付けられています。

Suricata8.0のメインニュース

注目の機能の一つは 新しいファイアウォールモードその ルール言語の形式化された方言の使用を可能にする Suricataのリアルタイムパケットフィルタリング。この機能は実験的なものと考えられていますが、アクティブな脅威検出と防御のより緊密な統合の始まりを示すものです。

この新しいファイアウォールは、デフォルトのドロップ ポリシーを実装し、プロトコル状態の「フック」に基づいてルールを評価し、許可されるトラフィックの明示的な定義を必要とします。

Suricata 8.0のもう一つの新機能は Lua 5.4がデフォルトで統合されました。 これにより、すべての環境における一貫性が確保されます。さらに、Lua はセキュリティサンドボックス内で実行されるため、次のような高リスクなアクションを防止できます。

  • ファイルに書き込みます。
  • ソケットを開いたり、オペレーティング システムにアクセスしたりします。
  • サードパーティのモジュールを読み込んでいます。

さらに、Lua ベースのルールはデフォルトで有効になっており、OISF によって文書化された安全なライブラリを使用して拡張できます。

パフォーマンスとアーキテクチャの改善

Suricata の検出エンジンは複数の最適化を受けています。

  • 分岐予測とハッシュ関数の改善。
  • バッファが大きいほど、PCAP の読み取りが高速になります。
  • ポートのグループ化とパターン キャッシュの改善により起動が高速化されました。
  • ストリーム同期の最適化と再構築。

Suricata 8.0も プラグインとプロトコルアナライザーの動的な登録が可能 メインのソース コードを変更せずにカスタム拡張を容易にします。

Rust への移行: セキュリティとパフォーマンスの向上

さらに、Suricata 8.0では、システムのセキュリティと堅牢性を向上させるために、いくつかの重要なモジュールがRustで書き直されました。具体的には以下のとおりです。

  • LibHTP (HTTP 解析)。
  • FTP、ENIP、MIME、base64、byte_extract のサポート。
  • SIP、MQTT、RFB、SNMP 用のデコーダー。
  • suricatasc コマンドも Rust に移植されました。

さらに、Suricata 8.0 には、いくつかの新しいプロトコルと分析機能のサポートも含まれています。

  • DNS over HTTPS(DoH)
  • LDAP
  • mDNS(マルチキャストDNS)
  • POP3(デコーダーとロガー付き)
  • WebSocketの
  • SDP over SIP、SIP over TCP
  • ARP(新しいデコーダーとロガー)

新しいルールと検出

新しいバージョンには、より複雑で効率的なルールを記述するための拡張されたキーワードと機能のセットが含まれています。

  • トランザクション ルール: 単一のルールでトランザクションの両方向を記述できます。
  • 新しいキーワード: entropy、from_base64、luaxform、tcp.wscale、pgsql.query、mDNS、requires。
  • アラートを強化するためにデータセット内の JSON データをサポートします。
  • 不在、vlan.id、TLS、FTP、SMTP、LDAP、EMAIL などに基づく検出のサポートが改善されました。

拡張機能に関しては、Suricata 8.0 では次の点が改善されました。

  • カスタム出力ログ用のパブリック API。
  • Napatech、PF_RING 用のプラグイン (現在は外部プラグイン)。
  • アドオンとしての初期 nDPI サポート。
  • 例外ポリシーの詳細なカウンター。
  • スキップされた再構成と無視されたルールに関する統計。
  • メモリ管理、BPF 使用量、パケット ドロップに関する新しいメトリック。
  • EVE 出力回路図の詳細。

最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたはの詳細を調べることができます 次のリンク。

ダウンロードと入手可能性

Suricata 8.0 は公式リポジトリから入手可能です。ソースコードは GitHub または OISF が各種プラットフォーム向けに配布するパッケージから入手できます。

このユーティリティをインストールするには、次のリポジトリをシステムに追加することでインストールできます。 これを行うには、次のコマンドを入力するだけです。

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

依存関係に問題がある場合、次のコマンドで解決されます:

sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4

インストールが完了しました。 オフロード機能パックを無効にすることをお勧めします SuricataがリッスンしているNIC上。

次のコマンドを使用して、eth0ネットワークインターフェイスでLRO / GROを無効にできます。

sudo ethtool -K eth0 gro off lro off

ミーアキャットは多くのオペレーティングモードをサポートしています。 次のコマンドを使用して、すべての実行モードのリストを表示できます。

sudo /usr/bin/suricata --list-runmodes

使用されるデフォルトの実行モードは、autofpは「自動固定フロー負荷分散」の略です。 このモードでは、それぞれの異なるストリームからのパケットが単一の検出スレッドに割り当てられます。 フローは、未処理のパケットの数が最も少ないスレッドに割り当てられます。

今、私たちはに進むことができます pcapライブモードでSuricataを起動します、次のコマンドを使用します。

sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal