Po sedmi letech vývoje Společnost Cisco vydala první stabilní verzi systému prevence útoků Snort 3, který byl kompletně přepracován, kromě zjednodušení konfigurace a spuštění Snort, stejně jako možnost automatizovat konfiguraci, zjednodušit jazyk tvorby pravidel, automaticky detekovat všechny protokoly, poskytnout a shell pro ovládání z příkazového řádku, aktivní multi-threading se sdíleným přístupem různých řadičů k jedné konfiguraci a dalším.
Pro ty, kdo nevědí o Snortovi, měli byste to vědět umí analyzovat provoz v reálném čase, reagovat na zjištěnou škodlivou činnost a udržovat podrobný protokol balíčku pro pozdější analýzu incidentů.
Pobočka Snort 3, známá také jako projekt Snort ++, kompletně přehodnotila koncept a architekturu svého produktu.
Práce na Snort 3 začaly v roce 2005, ale brzy byly opuštěny a obnoveny byly až v roce 2013 poté, co projekt převzala společnost Cisco.
Snort 3 hlavní zprávy
V nové verzi Snort 3 byl převeden na nový systém nastavení, který nabízí zjednodušenou syntaxi a umožňuje použití skriptů k dynamickému generování konfigurací. LuaJIT se používá ke zpracování konfiguračních souborů a doplňky založené na LuaJIT mají další možnosti pro pravidla a systém registru.
Další změna, která vyniká, je ta motor byl modernizován, aby detekoval útoky, pravidla byla aktualizována, byla přidána schopnost vázat vyrovnávací paměti v pravidlech (lepkavé vyrovnávací paměti) a byl použit také vyhledávač Hyperscan, který umožnil rychle a přesněji používat spuštěné vzory na základě regulárních výrazů v pravidlech;
Také v Snort 3 přidán nový introspekční režim pro HTTP což je stav relace a pokrývá 99% scénářů podporovaných testovací sadou HTTP Evader, plus přidaný kontrolní systém pro provoz HTTP / 2.
Výkon režimu hluboké kontroly paketů byl výrazně vylepšen. Byla přidána funkce zpracování paketů s více vlákny, která umožňuje současné provádění více vláken s obslužnými rutinami paketů a poskytuje lineární škálovatelnost na základě počtu jader CPU.
Bylo implementováno společné úložiště konfiguračních tabulek a atributy, které jsou sdíleny v různých subsystémech, což významně snížilo spotřebu paměti odstraněním duplikace informací.
Na druhé straně také je zvýrazněn přechod na modulární architekturu, schopnost rozšířit funkčnost prostřednictvím připojení zásuvných modulů a implementace klíčových subsystémů ve formě vyměnitelných zásuvných modulů.
V současné době existuje více než 200 pluginů pro Snort 3, které pokrývají nejrůznější použití, například umožňují vám přidat do pravidel vlastní kodek, režimy introspekce, metody registrace, akce a možnosti.
Z dalších změn, které vyčnívají z nové verze:
- Přidána podpora souborů pro rychlé přepsání nastavení ve srovnání s výchozím nastavením.
- Používání snort_config.lua a SNORT_LUA_PATH bylo kvůli zjednodušení konfigurace přerušeno.
- Přidána podpora pro reloading nastavení za běhu.
- Nový systém protokolu událostí, který používá formát JSON a snadno se integruje s externími platformami, jako je Elastic Stack.
- Automatická detekce spuštěných služeb, což eliminuje potřebu ručně specifikovat aktivní síťové porty.
- Kód poskytuje možnost používat konstrukty C ++ definované ve standardu C ++ 14 (sestavení vyžaduje kompilátor, který podporuje C ++ 14).
- Byl přidán nový řadič VXLAN.
- Vylepšené vyhledávání typů obsahu podle obsahu pomocí aktualizovaných alternativních implementací algoritmů Boyer-Moore a Hyperscan.
- Zrychlené spuštění pomocí více vláken k sestavení skupin pravidel;
- Přidán nový registrační mechanismus.
- Byl přidán kontrolní systém RNA (Real-time Network Awareness), který shromažďuje informace o zdrojích, hostitelích, aplikacích a službách dostupných v síti.
Konečně pokud o tom chcete vědět víc o nové verzi můžete zkontrolovat podrobnosti v následujícím odkazu.