Πριν από αρκετούς μήνες μοιραστήκαμε εδώ στο blog τα νέα για την κυκλοφορία της έκδοσης beta του Snort 3 y πριν από λίγες μόνο μέρες υπήρχε ήδη μια έκδοση RC για αυτόν τον νέο κλάδο της εφαρμογής.
Δεδομένου ότι Η Cisco ανακοίνωσε τη δημιουργία υποψηφίου για την έναρξη το σύστημα πρόληψης των επιθέσεων Ροχαλισμός 3 (γνωστό και ως έργο Snort++), το οποίο εργάζεται και σβήνει από το 2005. Η σταθερή έκδοση έχει προγραμματιστεί να κυκλοφορήσει εντός ενός μήνα.
Το Snort 3 επανεξέτασε πλήρως την ιδέα του προϊόντος και επανασχεδίασε την αρχιτεκτονική. Μεταξύ των βασικών τομέων ανάπτυξης για το Snort 3: απλοποίηση της διαμόρφωσης και εκκίνηση του Snort, αυτοματοποίηση διαμόρφωσης, απλοποίηση της γλώσσας δημιουργίας κανόνων, αυτόματη ανίχνευση όλων των πρωτοκόλλων, παροχή κέλυφος για έλεγχο γραμμής εντολών, χρήση ενεργός
Το Snort διαθέτει μια βάση δεδομένων επιθέσεων που ενημερώνεται συνεχώς μέσω του Διαδικτύου. Οι χρήστες μπορούν να δημιουργήσουν υπογραφές βάσει των χαρακτηριστικών των νέων επιθέσεων στο δίκτυο και να τις υποβάλουν στη λίστα αλληλογραφίας υπογραφών του Snort, αυτή η ηθική της κοινότητας και της κοινής χρήσης έχει καταστήσει το Snort ένα από τα πιο δημοφιλή, ενημερωμένα και πιο δημοφιλή IDS βάσει δικτύου. Ισχυρό πολλαπλών νημάτων με κοινή πρόσβαση διαφορετικών ελεγκτών σε μία διαμόρφωση.
Ποιες είναι οι αλλαγές στο CR;
Πραγματοποιήθηκε μετάβαση σε νέο σύστημα διαμόρφωσης, η οποία προσφέρει μια απλοποιημένη σύνταξη και επιτρέπει τη χρήση σεναρίων για τη δυναμική δημιουργία διαμορφώσεων. Το LuaJIT χρησιμοποιείται για την επεξεργασία αρχείων διαμόρφωσης. Οι προσθήκες που βασίζονται στο LuaJIT διαθέτουν πρόσθετες επιλογές για κανόνες και ένα σύστημα καταγραφής.
Η μηχανή ανίχνευσης επιθέσεων έχει εκσυγχρονιστεί, οι κανόνες ενημερώθηκαν, προστέθηκε η δυνατότητα δέσμευσης buffer στους κανόνες (sticky buffer). Χρησιμοποιήθηκε η μηχανή αναζήτησης Hyperscan, η οποία επέτρεψε τη γρήγορη και ακρίβεια της χρήσης ενεργοποιημένων μοτίβων με βάση τις κανονικές εκφράσεις των κανόνων.
Προστέθηκε μια νέα λειτουργία ενδοσκόπησης για HTTP που έχει κατάσταση περιόδου λειτουργίας και καλύπτει το 99% των καταστάσεων που υποστηρίζονται από τη δοκιμαστική σουίτα HTTP Evader. Προστέθηκε σύστημα επιθεώρησης για την κυκλοφορία HTTP/2.
Η απόδοση της λειτουργίας επιθεώρησης σε βάθος πακέτων έχει βελτιωθεί σημαντικά. Προστέθηκε δυνατότητα επεξεργασίας πακέτων πολλαπλών νημάτων, επιτρέποντας ταυτόχρονη εκτέλεση πολλαπλών νημάτων με χειριστές πακέτων και παρέχοντας γραμμική επεκτασιμότητα βάσει του αριθμού των πυρήνων CPU.
Έχει εφαρμοστεί μια κοινή αποθήκευση πινάκων διαμόρφωσης και χαρακτηριστικών, η οποία είναι κοινόχρηστη σε διαφορετικά υποσυστήματα, η οποία έχει μειώσει σημαντικά την κατανάλωση μνήμης εξαλείφοντας την επανάληψη πληροφοριών.
Νέο σύστημα καταγραφής συμβάντων που χρησιμοποιεί τη μορφή JSON και ενσωματώνεται εύκολα με εξωτερικές πλατφόρμες όπως το Elastic Stack.
Μετάβαση σε αρθρωτή αρχιτεκτονική, τη δυνατότητα επέκτασης της λειτουργικότητας μέσω της σύνδεσης plugins και της υλοποίησης βασικών υποσυστημάτων με τη μορφή αντικαταστάσιμων πρόσθετων. Αυτή τη στιγμή, έχουν ήδη εφαρμοστεί αρκετές εκατοντάδες προσθήκες για το Snort 3, που καλύπτουν διάφορους τομείς εφαρμογής, για παράδειγμα επιτρέποντάς σας να προσθέσετε τους δικούς σας κωδικοποιητές, τρόπους ενδοσκόπησης, μεθόδους καταγραφής, ενέργειες και επιλογές στους κανόνες.
Από τις άλλες αλλαγές που ξεχωρίζουν:
- Αυτόματη ανίχνευση τρεχουσών υπηρεσιών, εξαλείφοντας την ανάγκη χειροκίνητου καθορισμού ενεργών θυρών δικτύου.
- Προστέθηκε υποστήριξη αρχείων για γρήγορη παράκαμψη ρυθμίσεων σε σχέση με τις προεπιλεγμένες ρυθμίσεις. Η χρήση των snort_config.lua και SNORT_LUA_PATH έχει διακοπεί για να απλοποιηθεί η διαμόρφωση. Προστέθηκε υποστήριξη για επαναφόρτωση των ρυθμίσεων εν κινήσει.
- Ο κώδικας παρέχει τη δυνατότητα χρήσης των δομών C++ που ορίζονται στο πρότυπο C++14 (η συναρμολόγηση απαιτεί έναν μεταγλωττιστή που υποστηρίζει C++14).
- Προστέθηκε ένας νέος ελεγκτής VXLAN.
- Βελτιωμένη αναζήτηση τύπων περιεχομένου ανά περιεχόμενο χρησιμοποιώντας ενημερωμένες εναλλακτικές υλοποιήσεις των αλγορίθμων Boyer-Moore και Hyperscan.
- Ταχεία εκκίνηση χρησιμοποιώντας πολλαπλά νήματα για τη συλλογή ομάδων κανόνων.
- Προστέθηκε ένας νέος μηχανισμός εγγραφής.
- Προστέθηκε το σύστημα επιθεώρησης RNA (Real-Network Awareness), το οποίο συλλέγει πληροφορίες σχετικά με πόρους, κεντρικούς υπολογιστές, εφαρμογές και υπηρεσίες που είναι διαθέσιμες στο δίκτυο.
πηγή: https://blog.snort.org