Snort 3 arrive avec une refonte totale et ces nouvelles

Darkcrizt

Minutes 4

Après sept ans de développement, Cisco a publié la première version stable du système de prévention des attaques Snort 3 qui a été entièrement repensé, en plus de simplifier la configuration et le lancement de Snort, ainsi que le possibilité d'automatiser la configuration, simplifier le langage de réglementation, détecter automatiquement tous les protocoles, fournir un shell pour le contrôle en ligne de commande, multi-threading actif avec accès partagé de différents contrôleurs à une seule configuration et plus encore.

Pour ceux qui ne connaissent pas Snort, vous devez savoir que peut analyser le trafic en temps réel, répondre aux activités malveillantes détectées et maintenez un journal détaillé des paquets pour une analyse ultérieure des incidents.

La branche Snort 3, également connue sous le nom de projet Snort ++, a complètement repensé le concept et l'architecture de leur produit.

Les travaux sur Snort 3 ont commencé en 2005 mais ont été rapidement abandonnés et n'ont repris qu'en 2013 après que Cisco a repris le projet.

Nouvelles principales de Snort 3

Dans la nouvelle version de Snort 3 est passé à un nouveau système de configuration, Il offre une syntaxe simplifiée et permet l'utilisation de scripts pour générer dynamiquement des configurations. LuaJIT est utilisé pour traiter les fichiers de configuration, et les plugins basés sur LuaJIT ont des options supplémentaires pour les règles et un système de registre.

Un autre changement qui ressort est que le moteur a été modernisé pour détecter les attaques, les règles ont été mises à jour, la possibilité de lier des tampons a été ajoutée dans les règles (sticky buffers) et le moteur de recherche Hyperscan a également été utilisé, ce qui a permis d'utiliser des modèles déclenchés plus rapidement et plus précisément basés sur des expressions régulières dans les règles;

Aussi, dans Snort 3 ajout d'un nouveau mode d'introspection pour HTTP qui est avec état de session et couvre 99% des scénarios pris en charge par la suite de tests HTTP Evader, plus le système d'inspection supplémentaire pour le trafic HTTP / 2.

Les performances du mode d'inspection approfondie des paquets ont été considérablement améliorées. Une capacité de traitement de paquets multithread a été ajoutée, permettant l'exécution simultanée de plusieurs threads avec des gestionnaires de paquets et offrant une évolutivité linéaire basée sur le nombre de cœurs de processeur.

Un stockage commun des tables de configuration a été implémenté et les attributs, qui sont partagés dans différents sous-systèmes, ce qui a considérablement réduit la consommation de mémoire en éliminant la duplication des informations.

En outre, aussi la transition vers une architecture modulaire est mise en évidence, la possibilité d'étendre les fonctionnalités via une connexion plug-in et la mise en œuvre de sous-systèmes clés sous la forme de plug-ins remplaçables.

Il existe actuellement plus de 200 plugins pour Snort 3, couvrant une variété d'utilisations, telles que vous permettant d'ajouter vos propres codecs, modes d'introspection, méthodes d'enregistrement, actions et options dans les règles.

Parmi les autres changements qui ressortent de la nouvelle version:

  • Ajout de la prise en charge des fichiers pour remplacer rapidement les paramètres par rapport aux paramètres par défaut.
  • L'utilisation de snort_config.lua et SNORT_LUA_PATH a été interrompue pour simplifier la configuration.
  • Ajout de la prise en charge du rechargement des paramètres à la volée.
  • Nouveau système de journal des événements qui utilise le format JSON et s'intègre facilement aux plates-formes externes telles que Elastic Stack.
  • Détection automatique des services en cours d'exécution, éliminant le besoin de spécifier manuellement les ports réseau actifs.
  • Le code offre la possibilité d'utiliser les constructions C ++ définies dans la norme C ++ 14 (l'assembly nécessite un compilateur qui prend en charge C ++ 14).
  • Un nouveau contrôleur VXLAN a été ajouté.
  • Recherche améliorée des types de contenu par contenu à l'aide d'implémentations alternatives mises à jour des algorithmes Boyer-Moore et Hyperscan.
  • Lancement accéléré en utilisant plusieurs threads pour compiler des groupes de règles;
  • Ajout d'un nouveau mécanisme d'enregistrement.
  • Le système d'inspection RNA (Real-time Network Awareness) a été ajouté, qui collecte des informations sur les ressources, les hôtes, les applications et les services disponibles sur le réseau.

Enfin si vous voulez en savoir plus à propos de la nouvelle version, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.