Efter flere måneder blev Snort 3s CR endelig frigivet.

For flere måneder siden delte vi her på bloggen nyheden om frigivelsen af ​​betaversionen af ​​Snort 3 y det var kun for et par dage siden, at der allerede var en RC-version til denne nye gren af ​​applikationen.

som Cisco annoncerede dannelsen af ​​en lanceringskandidat til angrebsforebyggelsessystemet Snork 3 (også kendt som Snort ++ -projektet), som har arbejdet til og fra siden 2005. Den stabile version er planlagt til at blive frigivet inden for en måned.

Snort 3 har genovervejet produktkonceptet og redesignet arkitekturen. Blandt de vigtigste udviklingsområder for Snort 3: forenkling af konfiguration og lancering af Snort, automatisering af konfiguration, forenkling af sprog til oprettelse af regler, automatisk registrering af alle protokoller, tilvejebringelse af en skal til kommandolinjekontrol, brug aktiv

Snort har en database med angreb, der konstant opdateres via internettet. Brugere kan oprette signaturer baseret på karakteristika ved nye netværksangreb og sende dem til Snorts underskrift mailingliste, denne etik af fællesskab og deling har gjort Snort til et af de mest populære, opdaterede og mest populære netværksbaserede IDS. multi-threaded med delt adgang fra forskellige controllere til en enkelt konfiguration.

Hvilke ændringer er der i CR?

Der er foretaget en overgang til et nyt konfigurationssystem, som tilbyder en forenklet syntaks og tillader brug af scripts til dynamisk generering af konfigurationer. LuaJIT bruges til at behandle konfigurationsfiler. LuaJIT-baserede plugins har yderligere muligheder for regler og et registreringssystem.

Motor er blevet moderniseret til at opdage angreb, reglerne er blevet opdateret, er muligheden for at binde buffere i reglerne (klæbrig buffere) blevet tilføjet. Hyperscan-søgemaskinen er blevet brugt, hvilket gjorde det muligt hurtigt og præcist at bruge udløste mønstre baseret på regulære udtryk i reglerne.

Tilføjet en ny introspektionstilstand til HTTP som er session stateful og dækker 99% af de scenarier, der understøttes af HTTP Evader test suite. Tilføjet inspektionssystem til HTTP / 2-trafik.

Ydelsen til dyb pakkeinspektionstilstand er forbedret væsentligt. Multithreaded pakkebehandlingsfunktion er tilføjet, hvilket muliggør samtidig udførelse af flere tråde med pakkehåndterere og giver lineær skalerbarhed baseret på antallet af CPU-kerner.

En fælles lagring af konfigurations- og attributttabeller er blevet implementeret, som deles i forskellige undersystemer, hvilket har reduceret hukommelsesforbruget betydeligt ved at eliminere dobbeltarbejde.

Nyt hændelseslogsystem, der bruger JSON-format og let kan integreres med eksterne platforme såsom Elastic Stack.

Overgang til en modulær arkitektur, evnen til at udvide funktionaliteten gennem plug-in-forbindelse og implementering af nøglesubsystemer i form af udskiftelige plug-ins. På nuværende tidspunkt flere hundrede plugins er allerede implementeret til Snort 3, som dækker forskellige applikationsområder, f.eks. giver dig mulighed for at tilføje dine egne codecs, introspektionstilstande, registreringsmetoder, handlinger og indstillinger i reglerne.

Af de andre ændringer, der skiller sig ud:

  • Automatisk registrering af kørende tjenester, hvilket eliminerer behovet for manuelt at specificere aktive netværksporte.
  • Tilføjet filunderstøttelse for hurtigt at tilsidesætte indstillinger i forhold til standardindstillinger. Brugen af ​​snort_config.lua og SNORT_LUA_PATH er afbrudt for at forenkle konfigurationen. Tilføjet understøttelse til genindlæsning af indstillinger på farten;
  • Koden giver mulighed for at bruge C ++ -konstruktionerne defineret i C ++ 14-standarden (samlingen kræver en compiler, der understøtter C ++ 14).
  • En ny VXLAN-controller er tilføjet.
  • Forbedret søgning efter indholdstyper efter indhold ved hjælp af opdaterede alternative implementeringer af Boyer-Moore og Hyperscan algoritmer.
  • Accelereret lancering ved hjælp af flere tråde til at kompilere regelgrupper;
  • Tilføjet en ny registreringsmekanisme.
  • RNA-inspektionssystemet (Real-Time Network Awareness) er tilføjet, som indsamler oplysninger om ressourcer, værter, applikationer og tjenester, der er tilgængelige på netværket.

kilde: https://blog.snort.org


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.