Snort 3 arriba amb un redisseny total i aquestes novetats

Darkcriztactualitzat el

sense comentaris

Després de set anys de desenvolupament, Cisco ha presentat la primera versió estable de el sistema de prevenció d'atacs Snort 3 el qual va ser completament redissenyat, A més que es va simplificar la configuració i el llançament de Snort, així com també la possibilitat d'automatitzar la configuració, simplificar el llenguatge de creació de regles, detectar automàticament tots els protocols, proporcionar un shell per al control de la línia d'ordres, ús actiu de subprocessos múltiples amb accés compartit de diferents controladors a una sola configuració i més.

Per als qui desconeixen de Snort, han de saber que pot analitzar el trànsit en temps real, respondre a l'activitat maliciosa detectada i mantenir un registre de paquets detallat per a una anàlisi posterior d'incidents.

La sucursal de Snort 3, també coneguda com el projecte Snort ++, ha repensat completament el concepte i l'arquitectura del seu producte.

El treball en Snort 3 va començar el 2005, però aviat es va abandonar i es va reprendre només en 2013 després que Cisco es fes càrrec de el projecte.

Principals novetats de Snort 3

En la nova versió de Snort 3 s'ha realitzat una transició a un nou sistema de configuració, que ofereix una sintaxi simplificada i permet l'ús de scripts per generar configuracions dinàmicament. LuaJIT s'utilitza per processar arxius de configuració, a més que els complements basats en LuaJIT compten amb opcions addicionals per regles i un sistema de registre.

Un altre dels canvis que es destaca és que s'ha modernitzat el motor per detectar atacs, s'han actualitzat les regles, s'ha afegit la capacitat de vincular memòria intermèdia a les regles (memòria intermèdia adhesius) i també es va utilitzar el motor de cerca Hyperscan, que va fer possible utilitzar patrons activats de forma ràpida i més precisa basats en expressions regulars en les regles;

A més, en Snort 3 es va agregar una nova manera d'introspecció per a HTTP que té estat de sessió i cobreix el 99% de les situacions admeses pel conjunt de proves HTTP Evader, a més del sistema d'inspecció agregat per tràfic HTTP / 2.

El rendiment de la manera d'inspecció profunda de paquets s'ha millorat significativament. Es va agregar la capacitat de processament de paquets multi-procés, el que permet l'execució simultània de múltiples subprocessos amb controladors de paquets i brinda escalabilitat lineal segons la quantitat de nuclis de CPU.

S'ha implementat un emmagatzematge comú de taules de configuració i atributs, el qual és compartit en diferents subsistemes, el que ha permès reduir significativament el consum de memòria a l'eliminar la duplicació d'informació.

D'altra banda, també es destaca la transició a una arquitectura modular, La capacitat d'ampliar la funcionalitat a través de la connexió de complements i la implementació de subsistemes clau en forma de complements reemplaçables.

Actualment hi ha més de 200 complements per a Snort 3, que cobreixen una varietat d'usos, com permetre afegir els seus propis còdecs, maneres d'introspecció, mètodes de registre, accions i opcions en les regles.

Dels altres canvis que es destaquen de la nova versió:

  • Es va agregar suport per a arxius per anul·lar ràpidament la configuració relativa a la configuració per defecte.
  • Es va interrompre l'ús de snort_config.lua i SNORT_LUA_PATH per simplificar la configuració.
  • Es va agregar suport per recarregar configuracions sobre la marxa.
  • Nou sistema de registre d'esdeveniments que utilitza format JSON i s'integra fàcilment amb plataformes externes com Elastic Stack.
  • Detecció automàtica de serveis en execució, eliminant la necessitat d'especificar manualment ports de xarxa actius.
  • El codi proporciona la capacitat d'utilitzar les construccions de C ++ definides en l'estàndard C ++ 14 (l'acoblament requereix un compilador que admeti C ++ 14).
  • Es va agregar un nou controlador VXLAN.
  • Cerca millorada de tipus de contingut per contingut utilitzant implementacions alternatives actualitzades dels algoritmes Boyer-Moore i Hyperscan.
  • Llançament accelerat mitjançant l'ús de diversos subprocessos per compilar grups de regles;
  • Es va agregar un nou mecanisme de registre.
  • S'ha afegit el sistema d'inspecció RNA (Real-time Network Awareness), que recopila informació sobre recursos, hosts, aplicacions i serveis disponibles a la xarxa.

Finalment si vols conèixer més a l'respecte sobre la nova versió, pots consultar els detalls en el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.