Před několika měsíci jsme sdíleli zde na blogu zprávy o vydání beta verze Snort 3 y teprve před několika dny existovala verze RC pro tuto novou větev aplikace.
Jak Společnost Cisco oznámila vytvoření kandidáta na spuštění pro systém prevence útoků Odfrknout 3 (také známý jako projekt Snort ++), který pracuje a vypíná od roku 2005. Vydání stabilní verze je naplánováno na měsíc.
Snort 3 kompletně přehodnotil koncept produktu a přepracoval architekturu. Mezi klíčové oblasti vývoje Snort 3: zjednodušení konfigurace a spuštění Snort, automatizace konfigurace, zjednodušení jazyka pro vytváření pravidel, automatická detekce všech protokolů, poskytnutí prostředí pro ovládání z příkazového řádku, použití aktivních
Snort má databázi útoků, která je neustále aktualizována prostřednictvím internetu. Uživatelé mohou vytvářet podpisy na základě charakteristik nových síťových útoků a odesílat je do podpisového seznamu Snort, díky této etice komunity a sdílení se Snort stal jedním z nejpopulárnějších, nejaktuálnějších a nejpopulárnějších IDS v síti. vícevláknové se sdíleným přístupem různých řadičů k jedné konfiguraci.
Jaké změny jsou v ČR?
Byl proveden přechod na nový konfigurační systém, který nabízí zjednodušenou syntaxi a umožňuje použití skriptů k dynamickému generování konfigurací. LuaJIT se používá ke zpracování konfiguračních souborů. Zásuvné moduly založené na LuaJIT mají další možnosti pro pravidla a registrační systém.
Motor byl modernizován, aby detekoval útoky, pravidla byla aktualizována, byla přidána možnost vázat vyrovnávací paměti v pravidlech (lepivé vyrovnávací paměti). Byl použit vyhledávač Hyperscan, který umožňoval rychle a přesně používat spuštěné vzory založené na regulárních výrazech v pravidlech.
Přidané nový režim introspekce pro HTTP což je stav relace a pokrývá 99% scénářů podporovaných testovací sadou HTTP Evader. Přidán kontrolní systém pro provoz HTTP / 2.
Byl vylepšen výkon režimu hloubkové kontroly paketů výrazně. Byla přidána možnost zpracování vícevláknových paketů, což umožňuje současné provádění více vláken s obslužnými rutinami paketů a poskytuje lineární škálovatelnost na základě počtu jader CPU.
Bylo implementováno společné úložiště konfiguračních a atributových tabulek, které je sdíleno v různých subsystémech, což výrazně snížilo spotřebu paměti eliminací duplikace informací.
Nový systém protokolu událostí, který používá formát JSON a snadno se integruje s externími platformami, jako je Elastic Stack.
Přechod na modulární architekturu, schopnost rozšířit funkčnost prostřednictvím připojení zásuvných modulů a implementace klíčových subsystémů ve formě vyměnitelných zásuvných modulů. V současnosti, pro Snort 3 je již implementováno několik stovek pluginů, Pokrývají různé oblasti aplikací, například vám umožňují přidat do pravidel vlastní kodek, režimy introspekce, metody registrace, akce a možnosti.
Z dalších změn, které vynikají:
- Automatická detekce spuštěných služeb, což eliminuje potřebu ručně specifikovat aktivní síťové porty.
- Přidána podpora souborů pro rychlé přepsání nastavení ve srovnání s výchozím nastavením. Používání snort_config.lua a SNORT_LUA_PATH bylo kvůli zjednodušení konfigurace přerušeno. Přidána podpora pro reloading nastavení za běhu;
- Tento kód poskytuje možnost používat konstrukty C ++ definované ve standardu C ++ 14 (sestavení vyžaduje kompilátor, který podporuje C ++ 14).
- Byl přidán nový řadič VXLAN.
- Vylepšené vyhledávání typů obsahu podle obsahu pomocí aktualizovaných alternativních implementací algoritmů Boyer-Moore a Hyperscan.
- Zrychlené spuštění pomocí více vláken k sestavení skupin pravidel;
- Přidán nový registrační mechanismus.
- Byl přidán kontrolní systém RNA (Real-time Network Awareness), který shromažďuje informace o zdrojích, hostitelích, aplikacích a službách dostupných v síti.
zdroj: https://blog.snort.org