Μετά από επτά χρόνια ανάπτυξης, Η Cisco κυκλοφόρησε την πρώτη σταθερή κυκλοφορία του συστήματος πρόληψης επιθέσεων Snort 3 που επανασχεδιάστηκε πλήρως, εκτός από την απλοποίηση της διαμόρφωσης και της εκκίνησης του Snort, καθώς και του δυνατότητα αυτοματοποίησης διαμόρφωσης, απλοποιήστε τη γλώσσα λήψης κανόνων, εντοπίστε αυτόματα όλα τα πρωτόκολλα, παρέχετε ένα κέλυφος για έλεγχο γραμμής εντολών, ενεργό multi-threading με κοινή πρόσβαση διαφορετικών ελεγκτών σε μία διαμόρφωση και πολλά άλλα.
Για όσους δεν γνωρίζουν το Snort, πρέπει να το γνωρίζετε μπορεί να αναλύσει την κίνηση σε πραγματικό χρόνο, να απαντήσει σε κακόβουλη δραστηριότητα που εντοπίστηκε και διατηρήστε ένα λεπτομερές αρχείο καταγραφής πακέτων για μεταγενέστερη ανάλυση συμβάντων.
Ο κλάδος Snort 3, επίσης γνωστός ως το έργο Snort ++, επανεξετάζει πλήρως την ιδέα και την αρχιτεκτονική του προϊόντος τους.
Οι εργασίες για το Snort 3 ξεκίνησαν το 2005, αλλά σύντομα εγκαταλείφθηκαν και συνεχίστηκαν μόνο το 2013 μετά την ανάληψη του έργου από τη Cisco.
Snort 3 κύρια νέα
Στη νέα έκδοση του Το Snort 3 έχει μεταφερθεί σε ένα νέο σύστημα εγκατάστασης, Προσφέρει μια απλοποιημένη σύνταξη και επιτρέπει τη χρήση σεναρίων για τη δημιουργία δυναμικών ρυθμίσεων. Το LuaJIT χρησιμοποιείται για την επεξεργασία αρχείων διαμόρφωσης και τα πρόσθετα που βασίζονται σε LuaJIT έχουν πρόσθετες επιλογές για κανόνες και ένα σύστημα μητρώου.
Μια άλλη αλλαγή που ξεχωρίζει είναι ότι ο κινητήρας έχει εκσυγχρονιστεί για να ανιχνεύει επιθέσεις, οι κανόνες έχουν ενημερωθεί, πρόσθεσε τη δυνατότητα δέσμευσης buffer στους κανόνες (sticky buffers) και χρησιμοποιήθηκε επίσης η μηχανή αναζήτησης Hyperscan, η οποία κατέστησε δυνατή τη γρήγορη και ακριβέστερη χρήση μοτίβων που ενεργοποιούνται βάσει βασικών εκφράσεων στους κανόνες.
Επίσης, στο Snort 3 πρόσθεσε μια νέα λειτουργία ενδοσκόπησης για HTTP το οποίο είναι κατάσταση λειτουργίας και καλύπτει το 99% των σεναρίων που υποστηρίζονται από τη δοκιμαστική σουίτα HTTP Evader, καθώς και το πρόσθετο σύστημα επιθεώρησης για κυκλοφορία HTTP / 2.
Η απόδοση της λειτουργίας επιθεώρησης πακέτων σε βάθος έχει βελτιωθεί σημαντικά. Προστέθηκε δυνατότητα επεξεργασίας πακέτων πολλαπλών νημάτων, επιτρέποντας ταυτόχρονη εκτέλεση πολλαπλών νημάτων με χειριστές πακέτων και παρέχοντας γραμμική επεκτασιμότητα βάσει του αριθμού των πυρήνων CPU.
Έχει εφαρμοστεί μια κοινή αποθήκευση πινάκων διαμόρφωσης και χαρακτηριστικά, τα οποία είναι κοινόχρηστα σε διαφορετικά υποσυστήματα, τα οποία έχουν μειώσει σημαντικά την κατανάλωση μνήμης εξαλείφοντας την επανάληψη πληροφοριών.
Επιπλέον, επίσης επισημαίνεται η μετάβαση σε μια αρθρωτή αρχιτεκτονική, τη δυνατότητα επέκτασης της λειτουργικότητας μέσω σύνδεσης plug-in και της εφαρμογής βασικών υποσυστημάτων με τη μορφή αντικαταστάσιμων προσθηκών.
Υπάρχουν επί του παρόντος πάνω από 200 προσθήκες για το Snort 3, που καλύπτουν μια ποικιλία χρήσεων, όπως σας επιτρέπουν να προσθέσετε τους δικούς σας κωδικοποιητές, τρόπους ενδοσκόπησης, μεθόδους εγγραφής, ενέργειες και επιλογές στους κανόνες.
Από τις άλλες αλλαγές που ξεχωρίζουν από τη νέα έκδοση:
- Προστέθηκε υποστήριξη αρχείων για γρήγορη παράκαμψη ρυθμίσεων σε σχέση με τις προεπιλεγμένες ρυθμίσεις.
- Η χρήση των snort_config.lua και SNORT_LUA_PATH έχει διακοπεί για να απλοποιηθεί η διαμόρφωση.
- Προστέθηκε υποστήριξη για επαναφόρτωση των ρυθμίσεων εν κινήσει.
- Νέο σύστημα καταγραφής συμβάντων που χρησιμοποιεί τη μορφή JSON και ενσωματώνεται εύκολα με εξωτερικές πλατφόρμες όπως το Elastic Stack.
- Αυτόματη ανίχνευση τρεχουσών υπηρεσιών, εξαλείφοντας την ανάγκη χειροκίνητου καθορισμού ενεργών θυρών δικτύου.
- Ο κώδικας παρέχει τη δυνατότητα χρήσης των κατασκευών C ++ που ορίζονται στο πρότυπο C ++ 14 (το συγκρότημα απαιτεί έναν μεταγλωττιστή που υποστηρίζει C ++ 14).
- Προστέθηκε ένας νέος ελεγκτής VXLAN.
- Βελτιωμένη αναζήτηση για τύπους περιεχομένου με περιεχόμενο χρησιμοποιώντας ενημερωμένες εναλλακτικές υλοποιήσεις των αλγορίθμων Boyer-Moore και Hyperscan.
- Ταχεία εκκίνηση χρησιμοποιώντας πολλαπλά νήματα για τη συλλογή ομάδων κανόνων.
- Προστέθηκε ένας νέος μηχανισμός εγγραφής.
- Προστέθηκε το σύστημα επιθεώρησης RNA (Real-Network Awareness), το οποίο συλλέγει πληροφορίες σχετικά με πόρους, κεντρικούς υπολογιστές, εφαρμογές και υπηρεσίες που είναι διαθέσιμες στο δίκτυο.
Τελικά αν θέλετε να μάθετε περισσότερα για αυτό για τη νέα έκδοση, μπορείτε να ελέγξετε τις λεπτομέρειες στον παρακάτω σύνδεσμο.