Snort 3 chega cun redeseño total e estas novidades

Despois de sete anos de desenvolvemento, Cisco lanzou a primeira versión estable do sistema de prevención de ataques Snort 3 que foi completamente redeseñado, ademais de simplificar a configuración e lanzamento de Snort, así como o posibilidade de automatizar a configuración, simplificar a linguaxe de creación de regras, detectar automaticamente todos os protocolos, proporcionar un shell para o control da liña de comandos, multi-threading activo con acceso compartido de diferentes controladores a unha única configuración e moito máis.

Para aqueles que descoñecen Snort, debes sabelo pode analizar o tráfico en tempo real e responder a actividades maliciosas detectadas e manteña un rexistro de paquetes detallado para unha posterior análise de incidentes.

A rama Snort 3, tamén coñecida como o proxecto Snort ++, repensou completamente o concepto e a arquitectura do seu produto.

Os traballos en Snort 3 comezaron en 2005 pero pronto foron abandonados e retomáronse só en 2013 despois de que Cisco asumise o proxecto.

Snort 3 novas principais

Na nova versión de Snort 3 pasou a un novo sistema de configuración, Ofrece unha sintaxe simplificada e permite o uso de scripts para xerar configuracións de forma dinámica. LuaJIT úsase para procesar ficheiros de configuración e os complementos baseados en LuaJIT teñen opcións adicionais para regras e un sistema de rexistro.

Outro cambio que destaca é iso o motor modernizouse para detectar ataques, as regras actualizáronse, engadiu a capacidade de unir buffers nas regras (búferes pegajosos) e tamén se empregou o motor de busca Hyperscan, que permitiu empregar patróns desencadeados de xeito rápido e máis preciso baseados en expresións regulares nas regras;

Ademais, en Snort 3 engadiu un novo modo de introspección para HTTP que ten estado de sesión e abrangue o 99% dos escenarios soportados pola suite de probas HTTP Evader, ademais do sistema de inspección adicional para o tráfico HTTP / 2.

Mellorouse significativamente o rendemento do modo de inspección profunda de paquetes. Engadiuse a capacidade de procesamento de paquetes multi-fío, que permite a execución simultánea de múltiples fíos con manipuladores de paquetes e proporciona escalabilidade lineal en función do número de núcleos de CPU.

Implementouse un almacenamento común de táboas de configuración e atributos, que se comparte en diferentes subsistemas, o que reduciu significativamente o consumo de memoria eliminando a duplicación de información.

Ademais, tamén resáltase a transición a unha arquitectura modular, a capacidade de ampliar a funcionalidade a través da conexión de complementos e a implementación de subsistemas clave en forma de complementos substituíbles.

Actualmente hai máis de 200 complementos para Snort 3, que abarcan unha variedade de usos, como permitirche engadir os teus propios códecs, modos de introspección, métodos de rexistro, accións e opcións nas regras.

Do resto de cambios que destacan da nova versión:

  • Engadiuse soporte para ficheiros para anular rapidamente os axustes relativos aos axustes predeterminados.
  • O uso de snort_config.lua e SNORT_LUA_PATH deixouse de simplificar a configuración.
  • Engadiuse soporte para recargar axustes sobre a marcha.
  • Novo sistema de rexistro de eventos que usa o formato JSON e que se integra facilmente con plataformas externas como Elastic Stack.
  • Detección automática de servizos en execución, eliminando a necesidade de especificar manualmente os portos de rede activos.
  • O código proporciona a posibilidade de usar as construcións C ++ definidas no estándar C ++ 14 (o conxunto require un compilador que admita C ++ 14).
  • Engadiuse un novo controlador VXLAN.
  • Mellora na busca de tipos de contido por contido mediante implementacións alternativas actualizadas dos algoritmos Boyer-Moore e Hyperscan.
  • Liberación acelerada usando varios fíos para compilar grupos de regras;
  • Engadiuse un novo mecanismo de rexistro.
  • Engadiuse o sistema de inspección de RNA (Real-time Network Awareness), que recolle información sobre recursos, hosts, aplicacións e servizos dispoñibles na rede.

Finalmente se queres saber máis sobre el sobre a nova versión, podes comprobar os detalles na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

bool (verdadeiro)