Setelah tujuh tahun pembangunan, Cisco telah merilis rilis stabil pertama dari sistem pencegahan serangan Snort 3 yang sepenuhnya didesain ulang, selain menyederhanakan konfigurasi dan peluncuran Snort, serta file kemungkinan untuk mengotomatiskan konfigurasi, menyederhanakan bahasa pembuatan aturan, secara otomatis mendeteksi semua protokol, menyediakan file shell untuk kontrol baris perintah, penggunaan multi-utas aktif dengan akses bersama dari pengontrol berbeda ke konfigurasi tunggal dan banyak lagi.
Bagi mereka yang tidak mengetahui Snort, Anda harus tahu itu dapat menganalisis lalu lintas secara real time, menanggapi aktivitas berbahaya yang terdeteksi dan memelihara log paket terperinci untuk analisis insiden selanjutnya.
Cabang Snort 3, juga dikenal sebagai proyek Snort ++, telah sepenuhnya memikirkan kembali konsep dan arsitektur produk mereka.
Pengerjaan Snort 3 dimulai pada tahun 2005 tetapi segera ditinggalkan dan hanya dilanjutkan pada tahun 2013 setelah Cisco mengambil alih proyek tersebut.
Mendengus 3 berita utama
Di versi baru Snort 3 telah dialihkan ke sistem penyiapan baru, Ini menawarkan sintaks yang disederhanakan dan memungkinkan penggunaan skrip untuk menghasilkan konfigurasi secara dinamis. LuaJIT digunakan untuk memproses file konfigurasi, dan plugin berbasis LuaJIT memiliki opsi tambahan untuk aturan dan sistem registri.
Perubahan lain yang menonjol adalah itu mesin telah dimodernisasi untuk mendeteksi serangan, aturan telah diperbarui, menambahkan kemampuan untuk mengikat buffer dalam aturan (buffer lengket) dan mesin pencari Hyperscan juga digunakan, yang memungkinkan untuk menggunakan pola yang dipicu dengan lebih cepat dan lebih tepat berdasarkan ekspresi reguler dalam aturan;
Juga, di Snort 3 menambahkan mode introspeksi baru untuk HTTP yang merupakan session stateful dan mencakup 99% skenario yang didukung oleh rangkaian pengujian HTTP Evader, ditambah sistem pemeriksaan tambahan untuk lalu lintas HTTP / 2.
Kinerja mode inspeksi paket dalam telah ditingkatkan secara signifikan. Kemampuan pemrosesan paket multi-utas telah ditambahkan, memungkinkan eksekusi beberapa utas secara bersamaan dengan penangan paket dan menyediakan skalabilitas linier berdasarkan jumlah inti CPU.
Penyimpanan umum tabel konfigurasi telah diterapkan dan atribut, yang digunakan bersama di berbagai subsistem, yang secara signifikan mengurangi konsumsi memori dengan menghilangkan duplikasi informasi.
Apalagi juga transisi ke arsitektur modular disorot, kemampuan untuk memperluas fungsionalitas melalui koneksi plug-in dan implementasi subsistem utama dalam bentuk plug-in yang dapat diganti.
Saat ini ada lebih dari 200 plugin untuk Snort 3, yang mencakup berbagai kegunaan, seperti memungkinkan Anda menambahkan codec Anda sendiri, mode introspeksi, metode pendaftaran, tindakan, dan opsi dalam aturan.
Dari perubahan lain yang menonjol dari versi baru:
- Menambahkan dukungan file untuk mengganti pengaturan relatif dengan pengaturan default dengan cepat.
- Penggunaan snort_config.lua dan SNORT_LUA_PATH telah dihentikan untuk menyederhanakan konfigurasi.
- Menambahkan dukungan untuk memuat ulang pengaturan dengan cepat.
- Sistem log peristiwa baru yang menggunakan format JSON dan mudah diintegrasikan dengan platform eksternal seperti Elastic Stack.
- Deteksi otomatis layanan yang berjalan, menghilangkan kebutuhan untuk menentukan port jaringan aktif secara manual.
- Kode menyediakan kemampuan untuk menggunakan konstruksi C ++ yang ditentukan dalam standar C ++ 14 (rakitan memerlukan kompiler yang mendukung C ++ 14).
- Pengontrol VXLAN baru telah ditambahkan.
- Pencarian jenis konten yang lebih baik menurut konten menggunakan implementasi alternatif yang diperbarui dari algoritme Boyer-Moore dan Hyperscan.
- Peluncuran dipercepat dengan menggunakan beberapa utas untuk menyusun grup aturan;
- Menambahkan mekanisme pendaftaran baru.
- Sistem pemeriksaan RNA (Real-time Network Awareness) telah ditambahkan, yang mengumpulkan informasi tentang sumber daya, host, aplikasi, dan layanan yang tersedia di jaringan.
Akhirnya jika Anda ingin tahu lebih banyak tentang itu tentang versi baru, Anda dapat memeriksa detailnya di tautan berikut.