Despois de varios meses, o CR de Snort 3 foi finalmente lanzado.

Hai varios meses compartimos aquí no blog a noticia do lanzamento da versión beta de Snort 3 y Hai só uns días que xa había unha versión RC para esta nova rama da aplicación.

Desde entón Cisco anunciou a formación dun candidato ao lanzamento para o sistema de prevención de ataques Respiro 3 (tamén coñecido como o proxecto Snort ++), que leva traballando dentro e fóra do 2005. Está previsto que a versión estable se publique dentro dun mes.

Snort 3 repensou completamente o concepto de produto e redeseñou a arquitectura. Entre as áreas clave de desenvolvemento para Snort 3: simplificar a configuración e o lanzamento de Snort, automatizar a configuración, simplificar a linguaxe de creación de regras, detectar automaticamente todos os protocolos, proporcionar un shell para o control da liña de comandos, uso activo

Snort ten unha base de datos de ataques que se actualiza constantemente a través de internet. Os usuarios poden crear sinaturas en función das características dos novos ataques de rede e envialas á lista de correo de sinaturas de Snort, esta ética de comunidade e compartición converteu a Snort nun dos IDS baseados en rede máis populares, actualizados e máis populares. multi-fío con acceso compartido de diferentes controladores a unha única configuración.

Que cambios hai no CR?

Realizouse unha transición cara a un novo sistema de configuración, que ofrece unha sintaxe simplificada e permite o uso de scripts para xerar configuracións de forma dinámica. LuaJIT úsase para procesar ficheiros de configuración. Os complementos baseados en LuaJIT teñen opcións adicionais para as regras e un sistema de rexistro.

O motor modernizouse para detectar ataques, as regras actualizáronse, engadiuse a capacidade de enlazar búferes nas regras (búferes pegajosos). Utilizouse o motor de busca Hyperscan, que permitiu usar de xeito rápido e preciso patróns activados baseados en expresións regulares nas regras.

Engadido un novo modo de introspección para HTTP que ten estado de sesión e abrangue o 99% dos escenarios soportados pola suite de probas HTTP Evader. Engadiuse un sistema de inspección para o tráfico HTTP / 2.

Mellorouse o rendemento do modo de inspección profunda de paquetes significativamente. Engadiuse a capacidade de procesamento de paquetes multi-fío, que permite a execución simultánea de múltiples fíos con manipuladores de paquetes e proporciona escalabilidade lineal en función do número de núcleos de CPU.

Implementouse un almacenamento común de táboas de configuración e atributos, que se comparte en diferentes subsistemas, o que reduciu significativamente o consumo de memoria eliminando a duplicación de información.

Novo sistema de rexistro de eventos que usa o formato JSON e que se integra facilmente con plataformas externas como Elastic Stack.

Transición a unha arquitectura modular, a posibilidade de ampliar a funcionalidade a través da conexión de complementos e a implementación de subsistemas clave en forma de complementos substituíbles. Agora mesmo, varios centos de complementos xa están implementados para Snort 3, Cubren varias áreas de aplicación, por exemplo, permitíndolle engadir os seus propios códecs, modos de introspección, métodos de rexistro, accións e opcións nas regras.

Dos outros cambios que destacan:

  • Detección automática de servizos en execución, eliminando a necesidade de especificar manualmente os portos de rede activos.
  • Engadiuse soporte para ficheiros para anular rapidamente os axustes relativos aos axustes predeterminados. O uso de snort_config.lua e SNORT_LUA_PATH deixouse de simplificar a configuración. Engadiuse soporte para recargar axustes sobre a marcha;
  • O código proporciona a posibilidade de usar as construcións C ++ definidas no estándar C ++ 14 (o conxunto require un compilador que admita C ++ 14).
  • Engadiuse un novo controlador VXLAN.
  • Mellora na busca de tipos de contido por contido mediante implementacións alternativas actualizadas dos algoritmos Boyer-Moore e Hyperscan.
  • Liberación acelerada usando varios fíos para compilar grupos de regras;
  • Engadiuse un novo mecanismo de rexistro.
  • Engadiuse o sistema de inspección de RNA (Real-time Network Awareness), que recolle información sobre recursos, hosts, aplicacións e servizos dispoñibles na rede.

Fuente: https://blog.snort.org


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

bool (verdadeiro)