Nach einigen Monaten wurde die CR von Snort 3 endlich veröffentlicht.

Darkcrizt

4 Minuten

Vor einigen Monaten haben wir hier auf dem Blog geteilt die Nachricht von der Veröffentlichung der Beta-Version von Snort 3 y Erst vor wenigen Tagen gab es bereits eine RC-Version für diesen neuen Zweig der Anwendung.

Seit Cisco kündigte die Bildung eines Startkandidaten für an das Angriffspräventionssystem Schnauben 3 (auch als Snort ++ - Projekt bekannt), das seit 2005 ein- und ausgeschaltet ist. Die Veröffentlichung der stabilen Version ist für einen Monat geplant.

Snort 3 hat das Produktkonzept komplett überarbeitet und die Architektur neu gestaltet. Zu den wichtigsten Entwicklungsbereichen für Snort 3 gehören die Vereinfachung der Konfiguration und des Starts von Snort, die Automatisierung der Konfiguration, die Vereinfachung der Regelerstellungssprache, die automatische Erkennung aller Protokolle sowie die Bereitstellung einer Shell für die Befehlszeilensteuerung und -nutzung aktiv

Snort verfügt über eine Datenbank mit Angriffen, die über das Internet ständig aktualisiert wird. Benutzer können Signaturen basierend auf den Merkmalen neuer Netzwerkangriffe erstellen und diese an Snorts Signatur-Mailingliste senden. Diese Ethik der Community und des Teilens hat Snort zu einem der beliebtesten, aktuellsten und beliebtesten netzwerkbasierten IDS gemacht. Robustes Multithreading mit gemeinsamem Zugriff verschiedener Controller auf eine einzige Konfiguration.

Welche Änderungen gibt es in der CR?

Ein Übergang zu einem neuen Konfigurationssystem wurde vorgenommen, die eine vereinfachte Syntax bietet und ermöglicht die Verwendung von Skripten zum dynamischen Generieren von Konfigurationen. Mit LuaJIT werden Konfigurationsdateien verarbeitet. LuaJIT-basierte Plugins bieten zusätzliche Optionen für Regeln und ein Registrierungssystem.

Die Engine wurde modernisiert, um Angriffe zu erkennenWurden die Regeln aktualisiert, wurde die Möglichkeit zum Binden von Puffern in den Regeln (Sticky-Puffer) hinzugefügt. Es wurde die Hyperscan-Suchmaschine verwendet, die es ermöglichte, ausgelöste Muster basierend auf regulären Ausdrücken in den Regeln schnell und genau zu verwenden.

Hinzugefügt Ein neuer Introspektionsmodus für HTTP Diese Sitzung ist statusbehaftet und deckt 99% der von der HTTP Evader-Testsuite unterstützten Szenarien ab. Inspektionssystem für HTTP / 2-Verkehr hinzugefügt.

Die Leistung des Deep Packet Inspection-Modus wurde verbessert bedeutend. Es wurde eine Paketverarbeitungsfunktion mit mehreren Threads hinzugefügt, die die gleichzeitige Ausführung mehrerer Threads mit Pakethandlern ermöglicht und eine lineare Skalierbarkeit basierend auf der Anzahl der CPU-Kerne bietet.

Es wurde eine gemeinsame Speicherung von Konfigurations- und Attributtabellen implementiert, die in verschiedenen Subsystemen gemeinsam genutzt wird. Dadurch wurde der Speicherverbrauch erheblich reduziert, indem doppelte Informationen vermieden wurden.

Neues Ereignisprotokollsystem, das das JSON-Format verwendet und problemlos in externe Plattformen wie Elastic Stack integriert werden kann.

Übergang zu einer modularen Architektur, die Fähigkeit, die Funktionalität durch Plug-In-Verbindung und die Implementierung wichtiger Subsysteme in Form austauschbarer Plug-Ins zu erweitern. Momentan, Für Snort 3 sind bereits mehrere hundert Plugins implementiert. Diese decken verschiedene Anwendungsbereiche ab und ermöglichen es Ihnen beispielsweise, Ihre eigenen Codecs, Introspektionsmodi, Registrierungsmethoden, Aktionen und Optionen in die Regeln aufzunehmen.

Von den anderen Änderungen, die auffallen:

  • Automatische Erkennung laufender Dienste, sodass aktive Netzwerkports nicht mehr manuell angegeben werden müssen.
  • Dateiunterstützung hinzugefügt, um Einstellungen im Vergleich zu Standardeinstellungen schnell zu überschreiben. Die Verwendung von snort_config.lua und SNORT_LUA_PATH wurde eingestellt, um die Konfiguration zu vereinfachen. Unterstützung für das schnelle Neuladen von Einstellungen hinzugefügt;
  • Der Code bietet die Möglichkeit, die im C ++ 14-Standard definierten C ++ - Konstrukte zu verwenden (für die Assembly ist ein Compiler erforderlich, der C ++ 14 unterstützt).
  • Ein neuer VXLAN-Controller wurde hinzugefügt.
  • Verbesserte Suche nach Inhaltstypen nach Inhalten mithilfe aktualisierter alternativer Implementierungen der Algorithmen Boyer-Moore und Hyperscan.
  • Beschleunigter Start durch Verwendung mehrerer Threads zum Kompilieren von Regelgruppen;
  • Ein neuer Registrierungsmechanismus wurde hinzugefügt.
  • Das RNA-Inspektionssystem (Real-Time Network Awareness) wurde hinzugefügt, das Informationen zu Ressourcen, Hosts, Anwendungen und Diensten sammelt, die im Netzwerk verfügbar sind.

Quelle: https://blog.snort.org


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.