Une nouvelle version (2.0) de Suricata "chauffait" depuis quelques temps et je l'ai chargée et compilée sans aucune nouvelle dépendance.
Le 25 juin 2014 sortie de la version 2.0.2 : téléchargeable ici. (obsolete en 2017)
Le 23 septembre 2014 sortie de la version 2.0.4 : téléchargeable ici. (obsolete en 2017)
La version 2.0.4 se compile et s'exécute comme la version 2.0.2 (même paramétrage).
A titre indicatif je "configure" avec le script suivant avant de lancer le "make" fatidique :
#!/bin/bash
PFX='--prefix=/opt/suricata/ '
CFG='--sysconfdir /opt/suricata/etc/ '
LOC='--localstatedir=/opt/suricata/var '
OPTIONS='--enable-gccprotect --enable-geoip --enable-nfqueue --enable-unix-socket'
./configure $PFX $CFG $LOC $OPTIONS 2>&1 | tee LOG_CONFIGURE
Les options permettent d'utiliser des filtres "géographiques" et d'utiliser le mode IPS (utilisation de NFQUEUE).
A première vue le paramétrage existant en 1.4 est parfaitement fonctionnel et le système tourne normalement. Il semble qu'une légère amélioration de performance soit présente, mais cela n'est pas transcendant et de toutes façons je suis limité par la liaison internet sur laquelle le maximum théorique #8Mo/s est atteint régulièrement.
Le fonctionnement en IPS est parfait et la mise en place de quelques "drop" permet de se débarrasser de quelques accès intempestifs. Le seul "manque" est que les "drops" ne laissent pas une trace spécifique dans l'interface de visualisation. De même le fichier "drop.log" ne contient aucune référence à la règle ayant provoqué le rejet et n'est pas affecté à un niveau de danger particulier ce qui est un peu dommage.
Il faut maintenant étudier la doc pour profiter des nouvelles fonctionnalités.