Nakon sedam godina razvoja, Cisco je predstavio prvu stabilnu verziju sistema za sprečavanje napada Snort 3 koji je u potpunosti redizajniran, uz pojednostavljivanje konfiguracije i pokretanje Snort-a, kao i mogućnost automatizacije konfiguracije, pojednostaviti jezik za izradu pravila, automatski otkriti sve protokole, pružiti a ljuska za kontrolu naredbenog retka, aktivni višestruki navoj sa zajedničkim pristupom različitih kontrolera jednoj konfiguraciji i više.
Oni koji nisu svjesni Snort-a, trebali biste to znati može analizirati promet u realnom vremenu, odgovoriti na otkrivenu zlonamjernu aktivnost i održavati detaljan dnevnik paketa za kasniju analizu nezgoda.
Podružnica Snort 3, poznata i kao projekt Snort ++, potpuno je preispitala koncept i arhitekturu svog proizvoda.
Rad na Snort 3 započeo je 2005. godine, ali je ubrzo napušten i nastavljen tek 2013. nakon što je Cisco preuzeo projekt.
Otpuhnite 3 glavne vijesti
U novoj verziji Snort 3 je prebačen na novi sistem za podešavanje, koji nudi pojednostavljenu sintaksu i omogućava upotrebu skripti za dinamičko generiranje konfiguracija. LuaJIT se koristi za obradu konfiguracijskih datoteka, a dodaci zasnovani na LuaJIT-u imaju dodatne opcije za pravila i sistem registra.
Druga promjena koja se ističe je ta motor je moderniziran za otkrivanje napada, pravila su ažurirana, dodana je sposobnost vezivanja međuspremnika u pravilima (ljepljivi međuspremnici) i pretraživač Hyperscan također je korišten, što je omogućilo bržu i precizniju upotrebu okidanih uzoraka na osnovu regularnih izraza u pravilima;
Takođe, u Snort 3 je dodao novi način introspekcije za HTTP koja sadrži stanje sesije i pokriva 99% scenarija podržanih od paketa za testiranje HTTP Evader, plus dodani sistem inspekcije za HTTP / 2 promet.
Izvedbe režima duboke inspekcije paketa značajno su poboljšane. Dodata je mogućnost višetreadne obrade paketa, omogućavajući istovremeno izvršavanje više niti s rukovaocima paketima i pružajući linearnu skalabilnost na osnovu broja CPU jezgara.
Implementirano je zajedničko spremište konfiguracijskih tablica i atribute, koji se dijeli u različitim podsustavima, što je značajno smanjilo potrošnju memorije eliminirajući dupliciranje informacija.
S druge strane, takođe istaknut je prijelaz na modularnu arhitekturu, mogućnost proširenja funkcionalnosti putem dodataka i implementacije ključnih podsistema u obliku zamjenjivih dodataka.
Trenutno postoji preko 200 dodataka za Snort 3, koji pokrivaju razne namjene, kao što su omogućavanje dodavanja vlastitih kodeka, načina introspekcije, načina registracije, radnji i opcija u pravilima.
Od ostalih promjena koje se ističu u novoj verziji:
- Dodata je podrška za datoteke za brzo poništavanje postavki u odnosu na zadane postavke.
- Upotreba snort_config.lua i SNORT_LUA_PATH je prekinuta radi pojednostavljenja konfiguracije.
- Dodata podrška za ponovno učitavanje postavki u letu.
- Novi sistem evidencije događaja koji koristi JSON format i lako se integrira s vanjskim platformama kao što je Elastic Stack.
- Automatsko otkrivanje pokrenutih usluga, uklanjajući potrebu za ručnim određivanjem aktivnih mrežnih portova.
- Kôd pruža mogućnost korištenja C ++ konstrukcija definiranih u C ++ 14 standardu (sklop zahtijeva kompajler koji podržava C ++ 14).
- Dodan je novi VXLAN kontroler.
- Poboljšano pretraživanje vrsta sadržaja prema sadržaju pomoću ažuriranih alternativnih implementacija algoritama Boyer-Moore i Hyperscan.
- Ubrzano pokretanje korištenjem više niti za sastavljanje grupa pravila;
- Dodan novi mehanizam registracije.
- Dodan je sistem inspekcije RNA (Real-time Network Awareness), koji prikuplja informacije o resursima, hostovima, aplikacijama i uslugama dostupnim na mreži.
Konačno ako želite znati više o tome o novoj verziji, možete provjeriti detalje na sljedećem linku.