Linux Adictos David Naranjo  

Después de siete años, por fin fue liberada la nueva rama del analizador de tráfico Zeek 3.0.0

Siete años después de la formación de la última rama importante, se presentó el lanzamiento de la nueva versión del sistema de detección de intrusos de red y análisis de tráfico Zeek 3.0.0, previamente distribuido bajo el nombre de Bro.

Zeek es una plataforma de análisis de tráfico que se centra principalmente en el seguimiento de eventos de seguridad, pero no se limita a esta aplicación. Se proporcionan módulos para el análisis de varios protocolos de red del nivel de aplicación, teniendo en cuenta el estado de las conexiones y permitiendo la formación de un registro detallado (archivo) de la actividad de la red.

Se propone un lenguaje orientado a temas para escribir escenarios de monitoreo e identificar anomalías, teniendo en cuenta las características específicas de las infraestructuras específicas. El sistema está optimizado para su uso en redes con gran ancho de banda.

Se proporciona una API para la integración con sistemas de información de terceros y el intercambio de datos en tiempo real.

Los paquetes IP capturados con pcap se transfieren a un motor de eventos que los acepta o rechaza. Los paquetes aceptados se reenvían al intérprete de scripts de política.

El motor de eventos analiza el tráfico de red en vivo o grabado o archivos de rastreo para generar eventos neutros. Genera eventos cuando sucede “algo”.

Esto puede ser provocado por el proceso de Zeek, como justo después de la inicialización o justo antes de la finalización del proceso de Zeek, así como por algo que tiene lugar en la red (o el archivo de seguimiento) que se analiza, como Zeek presenciando una solicitud HTTP o un nueva conexión TCP.

Zeek utiliza puertos comunes y detección de protocolos dinámicos (que incluyen firmas y análisis de comportamiento) para adivinar mejor la interpretación de los protocolos de red. Los eventos son neutrales en cuanto a políticas, ya que no son buenos ni malos, sino que simplemente indican al guión que algo sucedió.

Principales novedades de Zeek

En esta nueva entrega de la aplicación se destaca que el analizador para el protocolo NTP se ha reescrito completamente y se ha agregado un nuevo analizador para MQTT.

Con lo cual las funciones de analizador fueron mejoradas para DNS, RDP, SMB y TLS. Para DNS, se proporciona el análisis de registros SPF y para DNSSEC, RRSIG, DNSKEY, DS, NSEC y NSEC3 y se proporciona la asignación de eventos relacionados.

Ademas todas las referencias al nombre “bro” en las rutas de archivos, configuraciones, paquetes, scripts, espacios de nombres y funciones se reemplazan por “zeek” (la compatibilidad con los nombres antiguos se conserva por compatibilidad con versiones anteriores). El gestor de paquetes bro-pkg ha cambiado de nombre a zkg.

De los demás cambios que se destacan en el anuncio de esta nueva versión:

  • Soporte implementado para desencapsular flujos transmitidos dentro de túneles VXLAN
  • Soporte agregado para enlaces con tipo NFLOG
  • Se agregó la capacidad de guardar registros de datos extraídos en la codificación UTF8.
  • Se ha agregado soporte para cierres para funciones anónimas al lenguaje de scripting, se ha agregado el operador de enumeración de tablas en el formato clave-valor (“for (key, value in t)”).
  • Adición de operaciones de división de vectores al estilo Python (“v [2: 4]”)
  • Se ha propuesto una nueva estructura paraglob para emparejar rápidamente máscaras de cadena en grandes conjuntos de datos binarios
  • Soporte agregado para el protocolo SMB 3.x en el analizador SMB y soporte para TLS 1.3.

¿Como instalar Zeek en Linux?

En estos momentos (en los que fue escrito al articulo) el paquete zeek aún no esta dentro de los repositorios de las distribuciones de Linux, a que actualmente aún se encuentra la ultima versión de “Bro”.

Por lo que si quieren instalar esta nueva versión de Zeek 3.0 deberán de descargar su código fuente y realizar la compilación en su equipo.

Para ello lo que deben hacer es abrir una terminal y en ella ejecutar los siguientes comandos:

git clone --recursive https://github.com/zeek/zeek

./configure && make && sudo make install

Y listo con ello ya tendrán instalado este analizador de trafico.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.