Després de diversos mesos, per fi va ser donada a conèixer el RC de Snort 3

Fa uns quants mesos compartim aquí al bloc la notícia de l'alliberament de la versió beta de Snort 3 y va ser fins fa tot just uns dies que ja es té una versió RC per a aquesta nova branca de laplicació.

Ja que Cisco anunci la formació d'un candidat de llançament per el sistema de prevenció d'atacs bufar 3 (també conegut com el projecte Snort ++), en què s'ha estat treballant de forma intermitent des del 2005. Està previst que la versió estable es publiqui d'aquí a un mes.

Snort 3 ha repensat completament el concepte de producte i ha redissenyat l'arquitectura. Entre les àrees clau de desenvolupament per a Snort 3: simplificar la configuració i el llançament de Snort, automatitzar la configuració, simplificar el llenguatge de creació de regles, detectar automàticament tots els protocols, proporcionar un shell per al control de la línia d'ordres, ús actiu

Snort té una base de dades d'atacs que s'actualitza constantment a través d'Internet. Els usuaris poden crear signatures basades en les característiques dels nous atacs de xarxa i enviar-les a la llista de correu de signatures de Snort, aquesta ètica de comunitat i compartir ha convertit Snort en un dels IDS basats en xarxa més populars, actualitzats i robustos.de subprocessos múltiples amb accés compartit de diferents controladors a una sola configuració.

Quins canvis es presenten a la RC?

S'ha fet una transició a un nou sistema de configuració, que ofereix una sintaxi simplificada i permet utilitzar scripts per generar configuracions dinàmicament. LuaJIT s'utilitza per processar fitxers de configuració. Els complements basats en LuaJIT compten amb opcions addicionals per a regles i un sistema de registre.

S'ha modernitzat el motor per detectar atacs, s'han actualitzat les regles, s'ha afegit la capacitat de vincular búfers a les regles (búfers adhesius). S'ha utilitzat el motor de cerca Hyperscan, que va fer possible utilitzar patrons activats de forma ràpida i precisa basats en expressions regulars a les regles.

es va agregar un nou mode d'introspecció per a HTTP que té estat de sessió i cobreix el 99% de les situacions admeses pel conjunt de proves HTTP Evader. Sistema dinspecció agregat per trànsit HTTP / 2.

S'ha millorat el rendiment del mode d'inspecció profunda de paquets significativament. Es va afegir la capacitat de processament de paquets multiprocés, cosa que permet l'execució simultània de múltiples subprocessos amb controladors de paquets i brinda escalabilitat lineal segons la quantitat de nuclis de CPU.

S'ha implementat un emmagatzematge comú de taules de configuració i atributs, el qual és compartit en diferents subsistemes, cosa que ha permès reduir significativament el consum de memòria en eliminar la duplicació d'informació.

Nou sistema de registre d'esdeveniments que utilitza format JSON i s'integra fàcilment amb plataformes externes com Elastic Stack.

Transició a una arquitectura modular, la capacitat d'ampliar la funcionalitat a través de la connexió de complements i la implementació de subsistemes clau en forma de complements reemplaçables. Actualment, diversos centenars de complements ja estan implementats per a Snort 3, que cobreixen diverses àrees d'aplicació, per exemple, permetent-vos afegir els vostres propis còdecs, modes d'introspecció, mètodes de registre, accions i opcions a les regles.

Dels altres canvis que es destaquen:

  • Detecció automàtica de serveis en execució, eliminant la necessitat d'especificar manualment ports de xarxa actius.
  • S'ha afegit suport per a fitxers per anul·lar ràpidament la configuració relativa a la configuració predeterminada. S'ha interromput l'ús de snort_config.lua i SNORT_LUA_PATH per simplificar la configuració. S'hi va afegir suport per recarregar configuracions sobre la marxa;
  • El codi proporciona la capacitat d'utilitzar les construccions de C++ definides a l'estàndard C++ 14 (l'assemblat requereix un compilador que admeti C++ 14).
  • Es va agregar un nou controlador VXLAN.
  • Cerca millorada de tipus de contingut per contingut utilitzant implementacions alternatives actualitzades dels algorismes de Boyer-Moore i Hyperscan.
  • Llançament accelerat mitjançant l'ús de diversos subprocessos per compilar grups de regles;
  • Es va agregar un nou mecanisme de registre.
  • S'ha afegit el sistema d'inspecció RNA (Real-time Network Awareness), que recopila informació sobre recursos, hosts, aplicacions i serveis disponibles a la xarxa.

font: https://blog.snort.org


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.