La semana pasada se liberó como estable barnyard2 v2-1.10, tras 20 meses de desarrollo y las aportaciones de un gran número de colaboradores. En mi opinión, no añade grandes novedades importantes; tan sólo destacar mejoras en el rendimiento de la base de datos, que ha sido reescrito (aunque no he analizado qué ha cambiado). Lo que sí destacan es que en la próxima versión (que no se sabe cuándo será) se cambiará el esquema de la base de datos para soportar de forma nativa IPv6 y Unified2. Esto afectará a programas como BASE que no será compatible con el nuevo esquema, cosa que aprovechan para pedir voluntarios para su modificación.
Se mejora el soporte para IPv6 y se corrigen numerosos fallos. Esta versión es capaz de leer “Extended headers” que entiendo que serán los datos extra que habló mi compañero José Vila, como la URI o el campo X-Forwarded, aunque comentan que todavía no hay plugin de salida que los procese.
Debido a esto último, por mi parte, seguiré utilizando la versión anterior parcheada que permite insertar esos datos en la base de datos, pero seguiremos a la espera de esa próxima versión que tanto promete.
El paso que dio Snort cuando desactivó los plugins de salida para bases de datos, ha confirmado la importancia de Unified2 como formato “intermedio” y a barnyard2 como una aplicación fundamental, cuyos desarrolladores deberán adaptarse rápidamente a los cambios y mejoras que puedan surgir. Lo que me pregunto es lo que tardará Sourcefire en acogerlos e incorporarlos al equipo de desarrollo propio, ya que en la mayoría de instalaciones es lo que se suele utilizar por ser la salida más rápida.
A continuación, pego los cambios traducidos al castellano:
Novedades
- spo_database. Soporte para conexiones cifradas en postgresql.
- spo_sguil. Corregido problema con el duplicado de alertas.
- Plugin de base de datos completamente reescrito para optimizar el rendimiento frente al esquema original.
- NOTA: Si vais a utilizar esta nueva versión, se recomienda encarecidamente limpiar dos tablas para un mejor rendimiento: reference y sig_reference. Si no se hace esto, no se rompe nada pero se relentiza el proceso de “cacheo”.
- Nuevo plugin para Bro (agradecimiento a Seth Hall).
- Nuevo plugin syslog_full con soporte local y remoto de syslog TCP y UDP.
Mejoras
- Soporte mejorado del último formato de Unified2. Se leen las cabeceras adicionales aunque todavía no hay plugin que lo utilice.
- Soporte mejorado de IPv6.
- Compilado con cygwin.
- E infinidad de errores corregidos.
Se puede descargar desde los siguientes enlaces:
- https://github.com/firnsy/barnyard2/tags (zip/tarball)
- git://github.com/firnsy/barnyard2.git (a través de git)
Simplemente quería informar de esta nueva versión y de lo importante que se ha vuelto el formato Unified2, el cual tuvimos que adoptar por temas de rendimiento, y ahora hemos visto que acertamos al ser una opción muy buena.
