Hace pocos días se dio a conocer el lanzamiento de «Zeek 8.0», la nueva versión del sistema de análisis de tráfico y detección de intrusiones en redes que antes se conocía como Bro. Este software, ampliamente reconocido en entornos de seguridad y monitorización avanzada, combina potencia, flexibilidad y escalabilidad en redes de gran ancho de banda, manteniéndose como una de las herramientas más completas para el análisis en profundidad de protocolos y eventos relacionados con la seguridad.
Su diseño permite registrar de manera detallada la actividad de red, con un enfoque en la detección de anomalías y el desarrollo de políticas personalizadas. Para ello, incluye un lenguaje específico de scripting, que da la posibilidad de definir escenarios de monitorización adaptados a la infraestructura de cada organización.
Gracias a su arquitectura modular, Zeek puede analizar una amplia variedad de protocolos a nivel de aplicación, evaluando no solo los encabezados básicos de red, sino también el estado de las conexiones y el comportamiento del tráfico. Esto lo convierte en un recurso estratégico en la gestión de la seguridad y en la investigación forense digital.
Novedades destacadas de Zeek 8.0
La versión 8.0.0 llega con mejoras técnicas que amplía una de las funciones más relevantes es la posibilidad de configurar identificadores de tuplas de flujo de red mediante complementos, lo que evita colisiones al separar flujos en entornos complejos. Ahora, además de las direcciones IP, puertos y protocolos, se pueden considerar etiquetas VLAN o identificadores de tráfico encapsulado como VXLAN y Geneve.
Otro cambio es la introducción del backend de clúster basado en ZeroMQ, que ya está preparado para entornos de producción. Aunque el backend Broker continúa siendo el predeterminado, el futuro apunta a una migración completa hacia ZeroMQ, lo que permitirá simplificar la distribución de mensajes sin necesidad de un proxy intermedio.
En el ámbito de los analizadores, Zeek incorpora soporte para protocolos clave como Redis, que ahora cuenta con un registro dedicado de operaciones, y mejoras en SMTP, que permite extraer mensajes de correo en formato .eml para su análisis. También se ha optimizado el soporte para FTP con AUTH TLS, la detección de registros NAPTR en DNS y la visibilidad de identificadores de sesión en PPPoE.
Cambios de última hora y ajustes técnicos
El salto a Zeek 8.0.0 también implica cambios estructurales importantes. A partir de esta versión, la compilación del sistema depende de la biblioteca ZeroMQ, lo que prepara el terreno para la transición definitiva al nuevo backend de clúster. Además, Zeek y sus submódulos requieren ahora compiladores compatibles con C++20 (mínimo GCC 10, Clang 8 o Visual Studio 2022).
Otra modificación relevante es la sustitución de la clase zeek::Span por el estándar std::span, lo que afecta a desarrolladores de complementos que utilizan el subsistema de telemetría. Se han realizado además limpiezas extensivas en el código base, eliminando dependencias innecesarias y ajustando el manejo de includes.
En cuanto a los registros, se unificaron los archivos analyzer.log y dpd.log, y ahora se ofrece la posibilidad de cambiar los formatos de salida gracias al paquete logschema, permitiendo usar JSON o CSV además de los registros de texto tradicionales. Asimismo, se introdujeron ajustes en el manejo de marcas de tiempo, lo que mejora la coherencia en los eventos, aunque puede requerir modificaciones en scripts ya existentes.
Telemetría avanzada y nuevas capacidades en clústeres
La administración de clústeres en Zeek también recibe una actualización significativa. Con el backend ZeroMQ y la API WebSocket, Zeekctl puede comunicarse de forma más eficiente con nodos individuales, facilitando la ejecución de comandos y el seguimiento del rendimiento.
Se amplía además la telemetría con métricas configurables que permiten registrar el número de eventos entrantes y salientes, su tamaño y hasta el origen de los scripts que los generan. Gracias a esta granularidad, es posible optimizar la carga de los nodos y detectar cuellos de botella en tiempo real.
La API WebSocket incorpora soporte para el encabezado X-Application-Name, lo que posibilita identificar métricas específicas por aplicación y facilita el monitoreo en entornos distribuidos.
Finalmente si estás interesado en poder conocer más al respecto sobre este lanzamiento, puedes consultar los detalles en el siguiente enlace.
¿Como instalar Zeek en Linux?
Para los interesados en poder instalar Zeek en su sistema, deben saber que se ofrecen binarios preconstruidos a través de openSUSE Build Service y basta con elegir la distribucion para que nos proporcione los comandos de instalacion.
Por ejemplo, para el caso de Ubuntu 25.04:
Código:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeekO en su caso para Ubuntu 24.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
En el caso de los que son usuarios de Arch Linux solo deben contar con el repositorio de AUR habilitado y teclear en una terminal:
yay -S zeekSi quieres compilar el código por tu cuenta o conocer más, puedes consultar la documentación de Zeek en el siguiente enlace.
Continúar leyendo...