I Gli sviluppatori Cisco hanno rilasciato la versione beta finale Sistema anti-intrusione "Snort 3" che è stato completamente ridisegnato, poiché per questa nuova versione gli sviluppatori hanno lavorato completamente sul concetto del prodotto e l'architettura è stata ridisegnata.
Tra le aree che sono state enfatizzate Durante la preparazione della nuova versione, il configurazione e avvio semplificati dell'applicazione, il automazione della configurazione, la semplificazione del linguaggio di costruzione delle regole, il rilevamento automatico di tutti i protocolli, la fornitura di una shell per l'amministrazione della riga di comando, l'uso attivo del multithreading con l'accesso congiunto di diversi gestori per una singola configurazione.
A proposito di Snort
Per chi non è a conoscenza di Snort, dovresti sapere che eQuesto è un sistema di rilevamento delle intrusioni di rete, libero e gratuito. Offre la possibilità di memorizzare i log in file di testo e in database aperto, come MySQL. Implementa un motore di rilevamento degli attacchi e di scansione delle porte che consente di registrare, avvisare e rispondere a qualsiasi anomalia precedentemente definita.
Durante la sua installazione, fornisce centinaia di filtri o regole per backdoor, DDoS, finger, FTP, attacchi web, CGI, Nmap, tra gli altri.
Può funzionare come sniffer e registro dei pacchetti. Quando un pacchetto corrisponde a un modello stabilito nelle regole di configurazione, viene registrato. In questo modo saprai quando, da dove e come è avvenuto l'attacco.
Snort dispone di un database di attacchi costantemente aggiornato tramite Internet. Gli utenti possono creare firme in base alle caratteristiche dei nuovi attacchi di rete e inviarle alla mailing list delle firme di Snort, questa etica di comunità e condivisione ha reso Snort uno degli IDS basati su rete più popolari, aggiornati e più robusti. .
Punti salienti della beta finale di Snort 3
In questa beta finale, Snort introduce una transizione a un nuovo sistema di configurazione che offre una sintassi semplificata e consente l'uso di script per la formazione di configurazioni dinamiche. LuaJIT viene utilizzato per elaborare i file di configurazione. I plugin basati su LuaJIT sono forniti con l'implementazione di opzioni aggiuntive per le regole e un sistema di registro;
Il motore per rilevare gli attacchi è stato modernizzato, le regole sono state aggiornate, È stata aggiunta la possibilità di vincolare i buffer nelle regole (buffer fissi). È coinvolto il motore di ricerca Hyperscan, che consente di utilizzare schemi di trigger più rapidi e precisi basati su espressioni regolari nelle regole;
È stata aggiunta una nuova modalità di introspezione per HTTP, tenendo conto dello stato della sessione e coprendo il 99% delle situazioni supportate dalla suite di test HTTP Evader. Il codice è in fase di sviluppo per supportare HTTP / 2.
Le prestazioni della modalità di ispezione approfondita dei pacchetti sono aumentate in modo significativo. Aggiunta capacità di elaborazione dei pacchetti multithread, che consente l'esecuzione simultanea di più thread con gestori di pacchetti e fornisce scalabilità lineare in base al numero di core della CPU.
È stato implementato un archivio comune di tabelle di configurazione e attributi, condiviso in diversi sottosistemi, che ha consentito di ridurre notevolmente il consumo di memoria eliminando la duplicazione delle informazioni;
Inoltre, un nnuovo sistema di registro eventi che utilizza il formato JSON e si integra facilmente con piattaforme esterne come Elastic Stack.
anche viene evidenziata la transizione verso un'architettura modulare, la capacità di estendere la funzionalità tramite la connessione plug-in e l'implementazione di sottosistemi chiave sotto forma di plug-in sostituibili.
Attualmente, Snort 3 ha già implementato diverse centinaia di plugin che coprono vari campi di applicazione, ad esempio, consentendo di aggiungere i propri codec, modalità di introspezione, metodi di registrazione, azioni e opzioni nelle regole, oltre al rilevamento automatico. Servizi in esecuzione, eliminando la necessità di specificare manualmente le porte di rete attive.
Infine se vuoi saperne di più o prova questa beta, puoi controllare i dettagli in seguente link