Snort 3 arriva con una riprogettazione totale e queste novità

Darkcrizt

4 minuti

Dopo sette anni di sviluppo, Cisco ha rilasciato la prima versione stabile del sistema di prevenzione degli attacchi Snort 3 che è stato completamente ridisegnato, oltre a semplificare la configurazione e il lancio di Snort, così come il possibilità di automatizzare la configurazione, semplificare il linguaggio normativo, rilevare automaticamente tutti i protocolli, fornire a shell per il controllo della riga di comando, multi-threading attivo con accesso condiviso di diversi controller a un'unica configurazione e altro ancora.

Per chi non è a conoscenza di Snort, dovresti saperlo può analizzare il traffico in tempo reale, rispondere alle attività dannose rilevate e mantenere un registro dettagliato del pacchetto per un'analisi successiva degli incidenti.

Il ramo Snort 3, noto anche come progetto Snort ++, ha completamente ripensato il concetto e l'architettura del loro prodotto.

Il lavoro su Snort 3 è iniziato nel 2005 ma è stato presto abbandonato e ripreso solo nel 2013 dopo che Cisco ha rilevato il progetto.

Snort 3 notizie principali

Nella nuova versione di Snort 3 è stato trasferito a un nuovo sistema di configurazione, che offre una sintassi semplificata e consente l'uso di script per generare dinamicamente le configurazioni. LuaJIT viene utilizzato per elaborare i file di configurazione e i plugin basati su LuaJIT hanno opzioni aggiuntive per le regole e un sistema di registro.

Un altro cambiamento che spicca è quello il motore è stato modernizzato per rilevare gli attacchi, le regole sono state aggiornate, è stata aggiunta la possibilità di associare i buffer nelle regole (sticky buffer) ed è stato utilizzato anche il motore di ricerca Hyperscan, che ha permesso di utilizzare pattern innescati più velocemente e più precisamente basati su espressioni regolari nelle regole;

Inoltre, in Snort 3 aggiunta una nuova modalità di introspezione per HTTP che è dotato di stato della sessione e copre il 99% degli scenari supportati dalla suite di test HTTP Evader, più il sistema di ispezione aggiunto per il traffico HTTP / 2.

Le prestazioni della modalità di ispezione approfondita dei pacchetti sono state notevolmente migliorate. È stata aggiunta la capacità di elaborazione dei pacchetti multithread, consentendo l'esecuzione simultanea di più thread con gestori di pacchetti e fornendo scalabilità lineare in base al numero di core della CPU.

È stato implementato un archivio comune di tabelle di configurazione e attributi, condivisi in diversi sottosistemi, che hanno ridotto significativamente il consumo di memoria eliminando la duplicazione delle informazioni.

Inoltre, anche viene evidenziata la transizione verso un'architettura modulare, la capacità di estendere la funzionalità tramite la connessione plug-in e l'implementazione di sottosistemi chiave sotto forma di plug-in sostituibili.

Attualmente ci sono più di 200 plugin per Snort 3, che coprono una varietà di usi, come la possibilità di aggiungere i propri codec, modalità di introspezione, metodi di registrazione, azioni e opzioni nelle regole.

Tra le altre modifiche che si distinguono dalla nuova versione:

  • Aggiunto supporto file per sovrascrivere rapidamente le impostazioni relative alle impostazioni predefinite.
  • L'uso di snort_config.lua e SNORT_LUA_PATH è stato interrotto per semplificare la configurazione.
  • Aggiunto supporto per ricaricare le impostazioni al volo.
  • Nuovo sistema di registro eventi che utilizza il formato JSON e si integra facilmente con piattaforme esterne come Elastic Stack.
  • Rilevamento automatico dei servizi in esecuzione, eliminando la necessità di specificare manualmente le porte di rete attive.
  • Il codice offre la possibilità di utilizzare i costrutti C ++ definiti nello standard C ++ 14 (l'assembly richiede un compilatore che supporti C ++ 14).
  • È stato aggiunto un nuovo controller VXLAN.
  • Ricerca migliorata dei tipi di contenuto per contenuto utilizzando implementazioni alternative aggiornate degli algoritmi Boyer-Moore e Hyperscan.
  • Avvio accelerato utilizzando più thread per compilare gruppi di regole;
  • Aggiunto un nuovo meccanismo di registrazione.
  • È stato aggiunto il sistema di ispezione RNA (Real-time Network Awareness), che raccoglie informazioni su risorse, host, applicazioni e servizi disponibili sulla rete.

Infine se vuoi saperne di più sulla nuova versione, puoi controllare i dettagli nel seguente link.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.