Snort 3 kommt mit einem kompletten Redesign und diesen Neuigkeiten an

Darkcrizt

4 Minuten

Nach sieben Jahren Entwicklung Cisco hat die erste stabile Version veröffentlicht des Angriffspräventionssystems Snort 3 wurde komplett neu gestaltetZusätzlich zur Vereinfachung der Konfiguration und des Starts von Snort sowie der Möglichkeit zur Automatisierung der Konfiguration, Vereinfachen Sie die Regelerstellungssprache, erkennen Sie automatisch alle Protokolle, stellen Sie a Shell zur Befehlszeilensteuerung, aktives Multithreading mit gemeinsamem Zugriff verschiedener Controller auf eine einzige Konfiguration und mehr.

Für diejenigen, die Snort nicht kennen, sollten Sie das wissen kann den Datenverkehr in Echtzeit analysieren und auf erkannte böswillige Aktivitäten reagieren und führen Sie ein detailliertes Paketprotokoll für die spätere Vorfallanalyse.

Die Snort 3-Niederlassung, auch als Snort ++ - Projekt bekannt, hat das Konzept und die Architektur ihres Produkts völlig überarbeitet.

Die Arbeiten an Snort 3 begannen 2005, wurden jedoch bald abgebrochen und erst 2013 wieder aufgenommen, nachdem Cisco das Projekt übernommen hatte.

Snort 3 Hauptnachrichten

In der neuen Version von Snort 3 wurde auf ein neues Setup-System umgestellt. Es bietet eine vereinfachte Syntax und ermöglicht die Verwendung von Skripten, um Konfigurationen dynamisch zu generieren. LuaJIT wird zum Verarbeiten von Konfigurationsdateien verwendet, und LuaJIT-basierte Plugins bieten zusätzliche Optionen für Regeln und ein Registrierungssystem.

Eine weitere Veränderung, die auffällt, ist die folgende Der Motor wurde modernisiert, um Angriffe zu erkennen. Die Regeln wurden aktualisiert. fügte die Fähigkeit hinzu, Puffer zu binden In den Regeln (Sticky Buffers) wurde auch die Hyperscan-Suchmaschine verwendet, die es ermöglichte, ausgelöste Muster schneller und präziser basierend auf regulären Ausdrücken in den Regeln zu verwenden.

Auch in Snort 3 Es wurde ein neuer Introspektionsmodus für HTTP hinzugefügt Diese Sitzung ist statusbehaftet und deckt 99% der von der HTTP Evader-Testsuite unterstützten Szenarien sowie das hinzugefügte Inspektionssystem für HTTP / 2-Verkehr ab.

Die Leistung des Deep Packet Inspection-Modus wurde erheblich verbessert. Es wurde eine Paketverarbeitungsfunktion mit mehreren Threads hinzugefügt, die die gleichzeitige Ausführung mehrerer Threads mit Pakethandlern ermöglicht und eine lineare Skalierbarkeit basierend auf der Anzahl der CPU-Kerne bietet.

Ein gemeinsamer Speicher für Konfigurationstabellen wurde implementiert und Attribute, die in verschiedenen Subsystemen gemeinsam genutzt werden, wodurch der Speicherverbrauch erheblich reduziert wurde, indem doppelte Informationen vermieden wurden.

Andererseits auch Der Übergang zu einer modularen Architektur wird hervorgehoben, die Fähigkeit, die Funktionalität durch Plug-In-Verbindung und die Implementierung wichtiger Subsysteme in Form austauschbarer Plug-Ins zu erweitern.

Derzeit gibt es über 200 Plugins für Snort 3, die eine Vielzahl von Verwendungszwecken abdecken, z. B. das Hinzufügen eigener Codecs, Introspektionsmodi, Registrierungsmethoden, Aktionen und Optionen zu den Regeln.

Von den anderen Änderungen, die sich von der neuen Version abheben:

  • Dateiunterstützung hinzugefügt, um Einstellungen im Vergleich zu Standardeinstellungen schnell zu überschreiben.
  • Die Verwendung von snort_config.lua und SNORT_LUA_PATH wurde eingestellt, um die Konfiguration zu vereinfachen.
  • Unterstützung für das schnelle Neuladen von Einstellungen hinzugefügt.
  • Neues Ereignisprotokollsystem, das das JSON-Format verwendet und problemlos in externe Plattformen wie Elastic Stack integriert werden kann.
  • Automatische Erkennung laufender Dienste, sodass aktive Netzwerkports nicht mehr manuell angegeben werden müssen.
  • Der Code bietet die Möglichkeit, die im C ++ 14-Standard definierten C ++ - Konstrukte zu verwenden (für die Assembly ist ein Compiler erforderlich, der C ++ 14 unterstützt).
  • Ein neuer VXLAN-Controller wurde hinzugefügt.
  • Verbesserte Suche nach Inhaltstypen nach Inhalt mithilfe aktualisierter alternativer Implementierungen der Algorithmen Boyer-Moore und Hyperscan.
  • Beschleunigter Start durch Verwendung mehrerer Threads zum Kompilieren von Regelgruppen;
  • Ein neuer Registrierungsmechanismus wurde hinzugefügt.
  • Das RNA-Inspektionssystem (Real-Time Network Awareness) wurde hinzugefügt, das Informationen zu Ressourcen, Hosts, Anwendungen und Diensten sammelt, die im Netzwerk verfügbar sind.

Schließlich wenn Sie mehr darüber wissen wollen Über die neue Version können Sie überprüfen die Details im folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.