Dopo diversi mesi, il CR di Snort 3 è stato finalmente rilasciato.

Darkcrizt

4 minuti

Diversi mesi fa abbiamo condiviso qui sul blog la notizia del rilascio della versione beta di Snort 3 y solo pochi giorni fa esisteva già una versione RC per questo nuovo ramo dell'applicazione.

Come Cisco ha annunciato la formazione di un candidato al lancio per il sistema di prevenzione degli attacchi Sbuffa 3 (noto anche come progetto Snort ++), che ha funzionato e disattivato dal 2005. La versione stabile dovrebbe essere rilasciata entro un mese.

Snort 3 ha completamente ripensato il concetto di prodotto e ridisegnato l'architettura. Tra le aree chiave di sviluppo per Snort 3: semplificare la configurazione e il lancio di Snort, automatizzare la configurazione, semplificare il linguaggio di creazione delle regole, rilevare automaticamente tutti i protocolli, fornire una shell per il controllo della riga di comando, utilizzare attivo

Snort dispone di un database di attacchi costantemente aggiornato tramite Internet. Gli utenti possono creare firme in base alle caratteristiche dei nuovi attacchi di rete e inviarle alla mailing list delle firme di Snort, questa etica di comunità e condivisione ha reso Snort uno degli IDS basati sulla rete più popolari, aggiornati e più popolari. multi-thread con accesso condiviso di diversi controller a un'unica configurazione.

Quali cambiamenti ci sono nella risposta predefinita?

È stata eseguita una transizione a un nuovo sistema di configurazione, che offre una sintassi semplificata e consente l'uso di script per generare dinamicamente le configurazioni. LuaJIT viene utilizzato per elaborare i file di configurazione. I plugin basati su LuaJIT hanno opzioni aggiuntive per le regole e un sistema di registrazione.

Il motore è stato modernizzato per rilevare gli attacchi, le regole sono state aggiornate, è stata aggiunta la possibilità di vincolare i buffer nelle regole (sticky buffer). È stato utilizzato il motore di ricerca Hyperscan, che ha reso possibile utilizzare in modo rapido e accurato modelli attivati ​​basati su espressioni regolari nelle regole.

Aggiunto una nuova modalità di introspezione per HTTP che è con stato della sessione e copre il 99% degli scenari supportati dalla suite di test HTTP Evader. Aggiunto sistema di ispezione per il traffico HTTP / 2.

Le prestazioni della modalità di ispezione approfondita dei pacchetti sono state migliorate in modo significativo. È stata aggiunta la capacità di elaborazione dei pacchetti multithread, consentendo l'esecuzione simultanea di più thread con gestori di pacchetti e fornendo scalabilità lineare in base al numero di core della CPU.

È stata implementata una memoria comune delle tabelle di configurazione e attributi, condivisa in diversi sottosistemi, che ha ridotto significativamente il consumo di memoria eliminando la duplicazione delle informazioni.

Nuovo sistema di registro eventi che utilizza il formato JSON e si integra facilmente con piattaforme esterne come Elastic Stack.

Transizione a un'architettura modulare, la capacità di estendere la funzionalità attraverso la connessione plug-in e l'implementazione di sottosistemi chiave sotto forma di plug-in sostituibili. In questo momento, diverse centinaia di plugin sono già implementati per Snort 3, Coprono varie aree di applicazione, ad esempio consentendo di aggiungere i propri codec, modalità di introspezione, metodi di registrazione, azioni e opzioni nelle regole.

Tra le altre modifiche che si distinguono:

  • Rilevamento automatico dei servizi in esecuzione, eliminando la necessità di specificare manualmente le porte di rete attive.
  • Aggiunto supporto file per sovrascrivere rapidamente le impostazioni relative alle impostazioni predefinite. L'uso di snort_config.lua e SNORT_LUA_PATH è stato interrotto per semplificare la configurazione. Aggiunto supporto per ricaricare le impostazioni al volo;
  • Il codice offre la possibilità di utilizzare i costrutti C ++ definiti nello standard C ++ 14 (l'assembly richiede un compilatore che supporti C ++ 14).
  • È stato aggiunto un nuovo controller VXLAN.
  • Ricerca migliorata per tipi di contenuto in base al contenuto utilizzando implementazioni alternative aggiornate degli algoritmi Boyer-Moore e Hyperscan.
  • Avvio accelerato utilizzando più thread per compilare gruppi di regole;
  • Aggiunto un nuovo meccanismo di registrazione.
  • È stato aggiunto il sistema di ispezione RNA (Real-time Network Awareness), che raccoglie informazioni su risorse, host, applicazioni e servizi disponibili sulla rete.

fonte: https://blog.snort.org


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.