Pirms vairākiem mēnešiem mēs dalījāmies šeit emuārā ziņas par Snort 3 beta versijas izlaišanu y Tikai pirms dažām dienām jau bija RC versija šai jaunajai lietojumprogrammas filiālei.
Kopš tā laika Cisco paziņoja par starta kandidāta izveidošanu uzbrukumu novēršanas sistēma Šņākt 3 (pazīstams arī kā Snort ++ projekts), kas strādā un darbojas kopš 2005. gada. Stabilo versiju paredzēts izlaist mēneša laikā.
Snort 3 ir pilnībā pārdomājis produkta koncepciju un pārveidojis arhitektūru. Starp galvenajām Snort 3 izstrādes jomām: Snort konfigurācijas un palaišanas vienkāršošana, konfigurācijas automatizēšana, noteikumu izveides valodas vienkāršošana, visu protokolu automātiska noteikšana, čaulas nodrošināšana komandrindas kontrolei, aktīvs lietojums
Snort ir uzbrukumu datu bāze, kuru pastāvīgi atjaunina, izmantojot internetu. Lietotāji var izveidot parakstus, pamatojoties uz jauno tīkla uzbrukumu īpašībām, un iesniegt tos Snort parakstu adresātu sarakstā. Šī kopienas un koplietošanas ētika ir padarījusi Snort par vienu no populārākajām, visjaunākajām un populārākajām tīkla IDS. vairāku pavedienu ar dažādu kontrolieru kopīgu piekļuvi vienai konfigurācijai.
Kādas izmaiņas ir CR?
Veikta pāreja uz jaunu konfigurācijas sistēmu, kas piedāvā vienkāršotu sintaksi un ļauj izmantot skriptus, lai dinamiski ģenerētu konfigurācijas. LuaJIT tiek izmantots konfigurācijas failu apstrādei. LuaJIT balstītiem spraudņiem ir papildu iespējas noteikumiem un reģistrācijas sistēmai.
Dzinējs ir modernizēts, lai atklātu uzbrukumus, noteikumi ir atjaunināti, ir pievienota spēja saistīt noteikumos esošos buferus (lipīgos buferus). Tika izmantota Hyperscan meklētājprogramma, kas ļāva ātri un precīzi izmantot aktivizētus modeļus, pamatojoties uz kārtulas regulārajām izteiksmēm.
Pievienots jauns HTTP pašpārbaudes režīms kas ir sesijas stāvoklis un aptver 99% no scenārijiem, kurus atbalsta HTTP Evader testa komplekts. Pievienota HTTP / 2 trafika pārbaudes sistēma.
Ir uzlabota dziļo pakešu pārbaudes režīma veiktspēja ievērojami. Ir pievienota vairāku pavedienu pakešu apstrādes iespēja, kas ļauj vienlaikus izpildīt vairākus pavedienus ar pakešu apstrādātājiem un nodrošina lineāru mērogojamību, pamatojoties uz CPU kodolu skaitu.
Ir ieviesta kopīga konfigurācijas un atribūtu tabulu krātuve, kas tiek koplietota dažādās apakšsistēmās, kas ir ievērojami samazinājis atmiņas patēriņu, novēršot informācijas dublēšanos.
Jauna notikumu žurnālu sistēma, kas izmanto JSON formātu un ir viegli integrējama ar ārējām platformām, piemēram, Elastic Stack.
Pāreja uz moduļu arhitektūru, spēja paplašināt funkcionalitāti, izmantojot spraudņu savienojumu un galveno apakšsistēmu ieviešanu nomaināmu spraudņu veidā. Tagadnē, Snort 3 jau ir ieviesti vairāki simti spraudņu, kas aptver dažādas lietojumprogrammu jomas, piemēram, ļaujot noteikumos pievienot savus kodekus, introspekcijas režīmus, reģistrācijas metodes, darbības un opcijas.
Starp pārējām izmaiņām, kas izceļas:
- Automātiska darbojošos pakalpojumu noteikšana, novēršot nepieciešamību manuāli norādīt aktīvās tīkla ostas.
- Pievienots failu atbalsts, lai ātri ignorētu iestatījumus salīdzinājumā ar noklusējuma iestatījumiem. Lai vienkāršotu konfigurēšanu, snort_config.lua un SNORT_LUA_PATH lietošana ir pārtraukta. Pievienots atbalsts iestatījumu pārlādēšanai lidojuma laikā;
- Kods nodrošina iespēju izmantot C ++ konstrukcijas, kas noteiktas C ++ 14 standartā (montāžai nepieciešams kompilators, kas atbalsta C ++ 14).
- Ir pievienots jauns VXLAN kontrolieris.
- Uzlabota satura veidu meklēšana pēc satura, izmantojot atjauninātas alternatīvas Bojera-Mūra un Hiperskana algoritmu ieviešanas iespējas.
- Paātrināta palaišana, izmantojot noteikumu virkņu apkopošanai vairākus pavedienus;
- Pievienots jauns reģistrācijas mehānisms.
- Ir pievienota RNA (Real-time Network Awareness) pārbaudes sistēma, kas apkopo informāciju par tīklā pieejamajiem resursiem, resursdatoriem, lietojumprogrammām un pakalpojumiem.
Fuente: https://blog.snort.org