לאחר שבע שנות התפתחות, סיסקו פרסמה את המהדורה היציבה הראשונה של מערכת מניעת התקפות נחרן 3 שעוצב מחדש לחלוטין, בנוסף לפשט את התצורה ואת ההשקה של Snort, כמו גם את אפשרות להפוך את התצורה לאוטומטית, לפשט את שפת יצירת הכללים, לזהות באופן אוטומטי את כל הפרוטוקולים, לספק מעטפת לבקרת שורת פקודה, ריבוי השחלה פעיל עם גישה משותפת של בקרים שונים לתצורה אחת ועוד.
למי שלא מודע לנחירות, כדאי שתדעו זאת יכול לנתח תנועה בזמן אמת, להגיב לפעילות זדונית שזוהתה ולנהל יומן חבילות מפורט לניתוח אירועים מאוחר יותר.
סניף Snort 3, המכונה גם פרויקט Snort ++, חשב מחדש על הרעיון והארכיטקטורה של המוצר שלהם.
העבודה על Snort 3 החלה בשנת 2005 אך ננטשה במהרה והתחדשה רק בשנת 2013 לאחר שסיסקו השתלטה על הפרויקט.
נחר 3 חדשות עיקריות
בגרסה החדשה של Snort 3 הועבר למערכת התקנה חדשה, המציע תחביר פשוט ומאפשר שימוש בתסריטים ליצירת תצורות באופן דינמי. LuaJIT משמש לעיבוד קבצי תצורה, ולתוספים מבוססי LuaJIT יש אפשרויות נוספות לכללים ומערכת רישום.
שינוי נוסף הבולט הוא זה המנוע שופץ כדי לאתר התקפות, הכללים עודכנו, נוספה היכולת לאגד מאגרים בחוקים (מאגרים דביקים) נעשה שימוש גם במנוע החיפוש Hyperscan, מה שאפשר להשתמש בתבניות מופעלות מהר יותר ובאופן מדויק יותר על סמך ביטויים רגולריים בכללים;
כמו כן, בסנוט 3 הוסיף מצב מבט חדש ל- HTTP המהווה סטטוס הפעלה ומכסה 99% מהתרחישים הנתמכים על ידי חבילת הבדיקות HTTP Evader, בתוספת מערכת הבדיקה שנוספה לתעבורת HTTP / 2.
הביצועים של מצב בדיקת מנות עמוק שופרו משמעותית. נוספה יכולת עיבוד מנות מרובי הליכות המאפשרת ביצוע בו זמנית של מספר שרשורים עם מטפלי חבילות ומספק מדרגיות ליניארית על בסיס מספר ליבות המעבד.
הוחל אחסון נפוץ של טבלאות תצורה ותכונות, המשותפות בתתי מערכות שונות, מה שהפחית משמעותית את צריכת הזיכרון על ידי ביטול כפילות מידע.
יתר על כן, גם המעבר לארכיטקטורה מודולרית מודגש, היכולת להרחיב פונקציונליות באמצעות חיבור פלאגין והטמעה של תת מערכות מפתח בצורה של תוספים ניתנים להחלפה.
כרגע יש למעלה מ- 200 תוספים עבור Snort 3, המכסים מגוון שימושים, כגון מאפשרים לך להוסיף קודקים משלך, מצבי התבוננות פנימית, שיטות רישום, פעולות ואפשרויות בכללים.
מבין שאר השינויים הבולטים מהגרסה החדשה:
- נוסף תמיכה בקבצים כדי לעקוף במהירות את ההגדרות ביחס להגדרות ברירת המחדל.
- השימוש ב- snort_config.lua ו- SNORT_LUA_PATH הופסק כדי לפשט את התצורה.
- הוסיף תמיכה לטעינת הגדרות בזמן.
- מערכת יומן אירועים חדשה המשתמשת בפורמט JSON ומשתלבת בקלות בפלטפורמות חיצוניות כגון Elastic Stack.
- איתור אוטומטי של שירותים פועלים, מבטל את הצורך לציין ידנית יציאות רשת פעילות.
- הקוד מספק את היכולת להשתמש במבני C ++ המוגדרים בתקן C ++ 14 (ההרכבה דורשת מהדר התומך ב- C ++ 14).
- נוסף בקר VXLAN חדש.
- חיפוש משופר בסוגי תוכן לפי תוכן באמצעות מימושים אלטרנטיביים מעודכנים של האלגוריתמים של בויר-מור והייפרסקאן.
- הפעלה מזורזת באמצעות מספר שרשורים להרכבת קבוצות כללים;
- נוסף מנגנון רישום חדש.
- נוספה מערכת הבדיקה RNA (Real-Time Awareness Network), האוספת מידע על משאבים, מארחים, יישומים ושירותים הזמינים ברשת.
בסופו של דבר אם אתה רוצה לדעת יותר על זה לגבי הגרסה החדשה, אתה יכול לבדוק את הפרטים בקישור הבא.