Pärast seitset aastat arengut Cisco on välja andnud esimese stabiilse versiooni rünnakute ennetamise süsteemi Snort 3, mis oli täielikult ümber kujundatud, lisaks Snorti seadistamise ja käivitamise lihtsustamisele konfiguratsiooni automatiseerimise võimalus, lihtsustada reeglite koostamise keelt, tuvastada automaatselt kõik protokollid, pakkuda a kest käsurea juhtimiseks, aktiivne mitmekeermineerimine koos erinevate kontrollerite jagatud juurdepääsuga ühele konfiguratsioonile ja muule.
Neile, kes ei tea Snortist, peaksite seda teadma oskab liiklust reaalajas analüüsida, tuvastatud pahatahtlikule tegevusele reageerida ja pidage üksikasjalikku pakettide logi hilisemaks intsidentide analüüsimiseks.
Snort 3 haru, tuntud ka kui Snort ++ projekt, on oma toote kontseptsiooni ja arhitektuuri täielikult ümber mõelnud.
Töö Snort 3-ga algas 2005. aastal, kuid peagi loobuti sellest ja jätkati alles 2013. aastal pärast seda, kui Cisco projekti üle võttis.
Snort 3 peamised uudised
Uues versioonis Snort 3 on üle viidud uuele seadistussüsteemile, mis pakub lihtsustatud süntaksit ja võimaldab skriptide kasutamist dünaamiliselt konfiguratsioonide genereerimiseks. LuaJIT-i kasutatakse konfiguratsioonifailide töötlemiseks ning LuaJIT-põhistel pistikprogrammidel on reeglite ja registrisüsteemi jaoks lisavõimalused.
Teine silma paistev muudatus on see rünnakute avastamiseks on mootorit moderniseeritud reegleid on ajakohastatud, lisatud on võime puhvreid siduda reeglites (kleepuvad puhvrid) ja Hyperscani otsingumootorit kasutati ka, mis võimaldas käivitatud mustreid kasutada reeglites regulaarsete väljendite põhjal kiiresti ja täpsemalt;
Samuti Snort 3-s lisas HTTP jaoks uue sisekaitse režiimi mis on seansi olekuga ja hõlmab 99% stsenaariumitest, mida toetab HTTP Evaderi testikomplekt, pluss lisatud kontrollsüsteem HTTP / 2 liikluse jaoks.
Pakettide sügava kontrollimise režiimi jõudlust on oluliselt parandatud. Lisatud on mitmikeermeline pakettide töötlemise võimalus, mis võimaldab pakettide käitlejatega samaaegselt käivitada mitu lõime ja tagab lineaarse mastaapsuse, mis põhineb protsessori südamike arvul.
Rakendatud on konfiguratsioonitabelite ühine salvestusruum ja atribuute, mida jagatakse erinevates alamsüsteemides, mis on teabe dubleerimise välistades märkimisväärselt vähendanud mälu tarbimist.
Lisaks sellele esiletõstetud on üleminek modulaarsele arhitektuurile, võime laiendada funktsionaalsust pistikühenduse ja peamiste alamsüsteemide juurutamise kaudu asendatavate pistikprogrammide kujul.
Praegu on Snort 200 jaoks üle 3 pistikprogrammi, mis hõlmavad mitmesuguseid kasutusviise, näiteks lubades teil reeglitesse lisada oma kodekid, sisekaitse režiimid, registreerimismeetodid, toimingud ja suvandid.
Muudest uuest versioonist eristuvatest muudatustest:
- Lisatud failitugi vaikeseadetega võrreldes seadete kiireks alistamiseks.
- Seadistamise lihtsustamiseks on snort_config.lua ja SNORT_LUA_PATH kasutamine lõpetatud.
- Lisatud tugi seadete uuesti laadimiseks lennult.
- Uus sündmuste logisüsteem, mis kasutab JSON-vormingut ja on hõlpsasti integreeritav väliste platvormidega, näiteks Elastic Stack.
- Töötavate teenuste automaatne tuvastamine, kaotades vajaduse aktiivseid võrguporde käsitsi täpsustada.
- Kood annab võimaluse kasutada C ++ 14 standardis määratletud C ++ konstruktsioone (komplekti jaoks on vaja kompilaatorit, mis toetab C ++ 14).
- Lisatud on uus VXLAN-kontroller.
- Täiustatud sisutüüpide otsimine sisu järgi, kasutades Boyer-Moore'i ja Hyperscani algoritmide uuendatud alternatiivseid rakendusi.
- Kiirendatud käivitamine, kasutades reeglirühmade koostamiseks mitut lõime;
- Lisatud uus registreerimismehhanism.
- Lisatud on RNA (Real-time Network Awareness) kontrollisüsteem, mis kogub teavet võrgus saadaolevate ressursside, hostide, rakenduste ja teenuste kohta.
Lõpuks kui soovite selle kohta rohkem teada saada Uue versiooni kohta saate vaadata üksikasjad järgmisel lingil.