Efter syv års udvikling, Cisco har introduceret den første stabile version af angrebsforebyggelsessystemet Snort 3, som blev fuldstændigt redesignetud over at forenkle konfigurationen og lanceringen af Snort såvel som mulighed for at automatisere konfiguration, forenkle regelsættet sprog, automatisk registrere alle protokoller, give en skal til kommandolinjekontrol, aktiv multi-threading med delt adgang fra forskellige controllere til en enkelt konfiguration og mere.
For dem der ikke er opmærksomme på Snort, skal du vide det kan analysere trafik i realtid, reagere på opdaget ondsindet aktivitet og vedligeholde en detaljeret pakkejournal til senere hændelsesanalyse.
Snort 3-filialen, også kendt som Snort ++ -projektet, har helt overvejet konceptet og arkitekturen for deres produkt.
Arbejdet med Snort 3 begyndte i 2005, men blev hurtigt opgivet og genoptages først i 2013, efter at Cisco overtog projektet.
Snort 3 vigtigste nyheder
I den nye version af Snort 3 er blevet overgået til et nyt installationssystem, som tilbyder en forenklet syntaks og muliggør brug af scripts til dynamisk generering af konfigurationer. LuaJIT bruges til at behandle konfigurationsfiler, og LuaJIT-baserede plugins har yderligere muligheder for regler og et registersystem.
En anden ændring, der skiller sig ud, er den motoren er blevet moderniseret til at opdage angreb, reglerne er blevet opdateret, muligheden for at binde buffere er blevet tilføjet i reglerne (klæbrig buffere) og Hyperscan søgemaskinen blev også brugt, hvilket gjorde det muligt at bruge udløste mønstre hurtigere og mere præcist baseret på regulære udtryk i reglerne;
Også i Snort 3 tilføjede en ny introspektionstilstand til HTTP som er session stateful og dækker 99% af de scenarier, der understøttes af HTTP Evader test suite, plus det tilføjede inspektionssystem for HTTP / 2-trafik.
Ydelsen til dyb pakkeinspektionstilstand er forbedret betydeligt. Multithreaded pakkebehandlingsfunktion er tilføjet, hvilket muliggør samtidig udførelse af flere tråde med pakkehåndterere og giver lineær skalerbarhed baseret på antallet af CPU-kerner.
En fælles lagring af konfigurationstabeller er blevet implementeret og attributter, som deles i forskellige undersystemer, hvilket har reduceret hukommelsesforbruget betydeligt ved at eliminere dobbeltarbejde.
Desuden også overgangen til en modularkitektur fremhævesevnen til at udvide funktionaliteten gennem plug-in-forbindelse og implementering af nøglesubsystemer i form af udskiftelige plug-ins.
Der er i øjeblikket over 200 plugins til Snort 3, der dækker en række forskellige anvendelser, såsom at give dig mulighed for at tilføje dine egne codecs, introspektionstilstande, registreringsmetoder, handlinger og muligheder i reglerne.
Af de andre ændringer, der skiller sig ud fra den nye version:
- Tilføjet filunderstøttelse for hurtigt at tilsidesætte indstillinger i forhold til standardindstillinger.
- Brugen af snort_config.lua og SNORT_LUA_PATH er afbrudt for at forenkle konfigurationen.
- Tilføjet support til genindlæsning af indstillinger på farten.
- Nyt hændelseslogsystem, der bruger JSON-format og let kan integreres med eksterne platforme såsom Elastic Stack.
- Automatisk registrering af kørende tjenester, hvilket eliminerer behovet for manuelt at specificere aktive netværksporte.
- Koden giver mulighed for at bruge C ++ -konstruktionerne defineret i C ++ 14-standarden (samlingen kræver en compiler, der understøtter C ++ 14).
- En ny VXLAN-controller er tilføjet.
- Forbedret søgning af indholdstyper efter indhold ved hjælp af opdaterede alternative implementeringer af Boyer-Moore og Hyperscan algoritmer.
- Accelereret lancering ved hjælp af flere tråde til at kompilere regelgrupper;
- Tilføjet en ny registreringsmekanisme.
- RNA-inspektionssystemet (Real-Time Network Awareness) er tilføjet, som indsamler oplysninger om ressourcer, værter, applikationer og tjenester, der er tilgængelige på netværket.
Endelig hvis du vil vide mere om det om den nye version, kan du kontrollere detaljerne i følgende link.