Après plusieurs mois, le CR de Snort 3 est enfin sorti.

Darkcrizt

Minutes 4

Il y a plusieurs mois, nous avons partagé ici sur le blog l'actualité de la sortie de la version beta de Snort 3 y il y a seulement quelques jours, il y avait déjà une version RC pour cette nouvelle branche de l'application.

Car Cisco a annoncé la formation d'un candidat au lancement pour le système de prévention des attaques Renifler 3 (également connu sous le nom de projet Snort ++), qui fonctionne sur et en dehors depuis 2005. La version stable est prévue pour être publiée dans un mois.

Snort 3 a complètement repensé le concept produit et repensé l'architecture. Parmi les domaines clés de développement pour Snort 3: simplifier la configuration et le lancement de Snort, automatiser la configuration, simplifier le langage de création de règles, détecter automatiquement tous les protocoles, fournir un shell pour le contrôle en ligne de commande, utiliser active

Snort dispose d'une base de données d'attaques constamment mise à jour via Internet. Les utilisateurs peuvent créer des signatures en fonction des caractéristiques des nouvelles attaques réseau et les soumettre à la liste de diffusion des signatures de Snort.Cette éthique de communauté et de partage a fait de Snort l'un des IDS réseau les plus populaires, les plus récents et les plus populaires. Robuste multi-thread avec accès partagé de différents contrôleurs à une seule configuration.

Quels sont les changements dans le CR?

Une transition vers un nouveau système de configuration a été effectuée, qui offre une syntaxe simplifiée et permet l'utilisation de scripts pour générer dynamiquement des configurations. LuaJIT est utilisé pour traiter les fichiers de configuration. Les plugins basés sur LuaJIT ont des options supplémentaires pour les règles et un système d'enregistrement.

Le moteur a été modernisé pour détecter les attaques, les règles ont été mises à jour, la possibilité de lier des tampons dans les règles (tampons persistants) a été ajoutée. Le moteur de recherche Hyperscan a été utilisé, ce qui a permis d'utiliser rapidement et avec précision des modèles déclenchés basés sur des expressions régulières dans les règles.

Ajoutée un nouveau mode d'introspection pour HTTP qui est avec état de session et couvre 99% des scénarios pris en charge par la suite de tests HTTP Evader. Ajout d'un système d'inspection pour le trafic HTTP / 2.

Les performances du mode d'inspection approfondie des paquets ont été améliorées significativement. Une capacité de traitement de paquets multithread a été ajoutée, permettant l'exécution simultanée de plusieurs threads avec des gestionnaires de paquets et offrant une évolutivité linéaire basée sur le nombre de cœurs de processeur.

Un stockage commun des tables de configuration et d'attributs a été mis en œuvre, qui est partagé dans différents sous-systèmes, ce qui a considérablement réduit la consommation de mémoire en éliminant la duplication des informations.

Nouveau système de journal des événements qui utilise le format JSON et s'intègre facilement aux plates-formes externes telles que Elastic Stack.

Transition vers une architecture modulaire, la possibilité d'étendre les fonctionnalités via une connexion plug-in et la mise en œuvre de sous-systèmes clés sous la forme de plug-ins remplaçables. Actuellement, plusieurs centaines de plugins sont déjà implémentés pour Snort 3, Ils couvrent différents domaines d'application, vous permettant par exemple d'ajouter vos propres codecs, modes d'introspection, méthodes d'enregistrement, actions et options dans les règles.

Parmi les autres changements qui ressortent:

  • Détection automatique des services en cours d'exécution, éliminant le besoin de spécifier manuellement les ports réseau actifs.
  • Ajout de la prise en charge des fichiers pour remplacer rapidement les paramètres par rapport aux paramètres par défaut. L'utilisation de snort_config.lua et SNORT_LUA_PATH a été interrompue pour simplifier la configuration. Ajout du support pour le rechargement des paramètres à la volée;
  • Le code offre la possibilité d'utiliser les constructions C ++ définies dans la norme C ++ 14 (l'assembly nécessite un compilateur qui prend en charge C ++ 14).
  • Un nouveau contrôleur VXLAN a été ajouté.
  • Recherche améliorée des types de contenu par contenu à l'aide d'implémentations alternatives mises à jour des algorithmes Boyer-Moore et Hyperscan.
  • Lancement accéléré en utilisant plusieurs threads pour compiler des groupes de règles;
  • Ajout d'un nouveau mécanisme d'enregistrement.
  • Le système d'inspection RNA (Real-time Network Awareness) a été ajouté, qui collecte des informations sur les ressources, les hôtes, les applications et les services disponibles sur le réseau.

source: https://blog.snort.org


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.