Pēc septiņu gadu attīstības Cisco ir izlaidis pirmo stabilo laidienu uzbrukumu novēršanas sistēmas Snort 3, kas tika pilnībā pārveidots, papildus Snort konfigurācijas un palaišanas vienkāršošanai, kā arī iespēja automatizēt konfigurāciju, vienkāršot noteikumu izstrādes valodu, automātiski noteikt visus protokolus, nodrošināt a apvalks komandrindas kontrolei, aktīva vairāku pavedienu izveidošana ar dažādu kontrolieru kopīgu piekļuvi vienai konfigurācijai un vairāk.
Tiem, kas nezina par Snort, jums tas būtu jāzina var reāllaikā analizēt trafiku, reaģēt uz atklātajām ļaunprātīgajām darbībām un uzturēt detalizētu paku žurnālu vēlākai incidentu analīzei.
Snort 3 filiāle, kas pazīstama arī kā Snort ++ projekts, ir pilnībā pārdomājis sava produkta koncepciju un arhitektūru.
Darbs pie Snort 3 sākās 2005. gadā, taču drīz tika pamests un atsākts tikai 2013. gadā, kad Cisco pārņēma projektu.
Snort 3 galvenās ziņas
Jaunajā versijā Snort 3 ir pārvietots uz jaunu iestatīšanas sistēmu, Tas piedāvā vienkāršotu sintaksi un ļauj izmantot skriptus, lai dinamiski ģenerētu konfigurācijas. LuaJIT tiek izmantots konfigurācijas failu apstrādei, un uz LuaJIT balstītiem spraudņiem ir papildu iespējas kārtulām un reģistru sistēmai.
Vēl viena izceļa ir tā dzinējs ir modernizēts, lai atklātu uzbrukumus, noteikumi ir atjaunināti, pievienoja spēju saistīt buferus noteikumos (lipīgie buferi) un tika izmantota arī meklētājprogramma Hyperscan, kas ļāva ātri un precīzāk izmantot iedarbinātos modeļus, pamatojoties uz kārtulas regulārajām izteiksmēm;
Arī Snort 3 pievienoja jaunu introspekcijas režīmu HTTP kas ir sesijas stāvoklī un aptver 99% no scenārijiem, kurus atbalsta HTTP Evader testa komplekts, kā arī pievienoto HTTP / 2 trafika pārbaudes sistēmu.
Dziļās pakešu pārbaudes režīms ir ievērojami uzlabots. Ir pievienota vairāku pavedienu pakešu apstrādes spēja, kas ļauj vienlaikus izpildīt vairākus pavedienus ar pakešu apstrādātājiem un nodrošina lineāru mērogojamību, pamatojoties uz CPU kodolu skaitu.
Ir ieviesta kopīga konfigurācijas tabulu krātuve un atribūti, kas tiek koplietoti dažādās apakšsistēmās, kas ir ievērojami samazinājis atmiņas patēriņu, novēršot informācijas dublēšanos.
No otras puses, arī tiek izcelta pāreja uz moduļu arhitektūru, spēja paplašināt funkcionalitāti, izmantojot spraudņus, un galveno apakšsistēmu ieviešana nomaināmu spraudņu veidā.
Pašlaik Snort 200 ir vairāk nekā 3 spraudņu, kas aptver dažādus lietojumus, piemēram, ļaujot kārtulās pievienot savus kodekus, iekšpuses režīmus, reģistrācijas metodes, darbības un opcijas.
Starp citām izmaiņām, kas izceļas no jaunās versijas:
- Pievienots failu atbalsts, lai ātri ignorētu iestatījumus salīdzinājumā ar noklusējuma iestatījumiem.
- Lai vienkāršotu konfigurēšanu, snort_config.lua un SNORT_LUA_PATH lietošana ir pārtraukta.
- Pievienots atbalsts iestatījumu pārlādēšanai lidojuma laikā.
- Jauna notikumu žurnālu sistēma, kas izmanto JSON formātu un ir viegli integrējama ar ārējām platformām, piemēram, Elastic Stack.
- Automātiska darbojošos pakalpojumu noteikšana, novēršot nepieciešamību manuāli norādīt aktīvās tīkla ostas.
- Kods nodrošina iespēju izmantot C ++ konstrukcijas, kas noteiktas C ++ 14 standartā (montāžai nepieciešams kompilators, kas atbalsta C ++ 14).
- Ir pievienots jauns VXLAN kontrolieris.
- Uzlabota satura veidu meklēšana pēc satura, izmantojot atjauninātas alternatīvas Boyer-Moore un Hyperscan algoritmu ieviešanas iespējas.
- Paātrināta palaišana, izmantojot noteikumu virkņu apkopošanai vairākus pavedienus;
- Pievienots jauns reģistrācijas mehānisms.
- Ir pievienota RNA (Real-time Network Awareness) pārbaudes sistēma, kas apkopo informāciju par tīklā pieejamajiem resursiem, resursdatoriem, lietojumprogrammām un pakalpojumiem.
Beidzot ja vēlaties uzzināt vairāk par to par jauno versiju varat pārbaudīt sīkāku informāciju šajā saitē.