Enkele maanden geleden deelden we hier op de blog het nieuws van de release van de bètaversie van Snort 3 y het is pas een paar dagen geleden dat er al een RC-versie was voor deze nieuwe tak van de applicatie.
als Cisco kondigde de vorming aan van een lanceringskandidaat voor het aanvalspreventiesysteem Snuiven 3 (ook bekend als het Snort ++ project), dat sinds 2005 aan en uit werkt. De stabiele versie wordt binnen een maand uitgebracht.
Snort 3 heeft het productconcept volledig heroverwogen en de architectuur opnieuw ontworpen. Een van de belangrijkste ontwikkelingsgebieden voor Snort 3: het vereenvoudigen van de configuratie en het starten van Snort, het automatiseren van de configuratie, het vereenvoudigen van de taal voor het maken van regels, het automatisch detecteren van alle protocollen, het bieden van een shell voor opdrachtregelbeheer, het gebruik actief
Snort heeft een database met aanvallen die constant wordt bijgewerkt via internet. Gebruikers kunnen handtekeningen maken op basis van de kenmerken van nieuwe netwerkaanvallen en deze indienen bij de handtekeningmailinglijst van Snort. Deze ethiek van gemeenschap en delen heeft van Snort een van de meest populaire, up-to-date en meest populaire netwerkgebaseerde IDS gemaakt. Robuust multi-threaded met gedeelde toegang van verschillende controllers tot een enkele configuratie.
Welke veranderingen zijn er in de CR?
Er is een overgang gemaakt naar een nieuw configuratiesysteem, die een vereenvoudigde syntaxis biedt en maakt het gebruik van scripts mogelijk om dynamisch configuraties te genereren. LuaJIT wordt gebruikt om configuratiebestanden te verwerken. Op LuaJIT gebaseerde plug-ins hebben extra opties voor regels en een registratiesysteem.
De engine is gemoderniseerd om aanvallen te detecteren, de regels zijn bijgewerkt, de mogelijkheid om buffers in de regels te binden (sticky buffers) is toegevoegd. Er is gebruik gemaakt van de Hyperscan-zoekmachine, die het mogelijk maakte om snel en nauwkeurig getriggerde patronen te gebruiken op basis van reguliere expressies in de regels.
Toegevoegd een nieuwe introspectie-modus voor HTTP dat is sessie stateful en dekt 99% van de scenario's die worden ondersteund door de HTTP Evader-testsuite. Inspectiesysteem toegevoegd voor HTTP / 2-verkeer.
De prestaties van de modus voor diepe pakketinspectie zijn verbeterd aanzienlijk. Multithreaded pakketverwerkingsmogelijkheid is toegevoegd, waardoor gelijktijdige uitvoering van meerdere threads met pakketbehandelaars mogelijk is en lineaire schaalbaarheid wordt geboden op basis van het aantal CPU-cores.
Er is een gemeenschappelijke opslag van configuratie- en attributentabellen geïmplementeerd, die wordt gedeeld in verschillende subsystemen, waardoor het geheugengebruik aanzienlijk is verminderd door duplicatie van informatie te elimineren.
Nieuw gebeurtenislogboeksysteem dat gebruikmaakt van het JSON-formaat en eenvoudig kan worden geïntegreerd met externe platforms zoals Elastic Stack.
Overgang naar een modulaire architectuur, de mogelijkheid om functionaliteit uit te breiden door middel van plug-in verbinding en de implementatie van belangrijke subsystemen in de vorm van vervangbare plug-ins. Momenteel, er zijn al honderden plug-ins geïmplementeerd voor Snort 3, Ze bestrijken verschillende toepassingsgebieden, zodat u bijvoorbeeld uw eigen codecs, introspectie-modi, registratiemethoden, acties en opties in de regels kunt toevoegen.
Van de andere veranderingen die opvallen:
- Automatische detectie van actieve services, waardoor het niet meer nodig is om actieve netwerkpoorten handmatig op te geven.
- Bestandsondersteuning toegevoegd om snel instellingen ten opzichte van standaardinstellingen te overschrijven. Het gebruik van snort_config.lua en SNORT_LUA_PATH is stopgezet om de configuratie te vereenvoudigen. Ondersteuning toegevoegd voor het direct opnieuw laden van instellingen;
- De code biedt de mogelijkheid om de C ++ -constructies te gebruiken die zijn gedefinieerd in de C ++ 14-standaard (de assembly vereist een compiler die C ++ 14 ondersteunt).
- Er is een nieuwe VXLAN-controller toegevoegd.
- Verbeterde zoekopdracht van inhoudstypen op inhoud met bijgewerkte alternatieve implementaties van de algoritmen Boyer-Moore en Hyperscan.
- Versnelde start door meerdere threads te gebruiken om regelgroepen te compileren;
- Een nieuw registratiemechanisme toegevoegd.
- Het RNA-inspectiesysteem (Real-time Network Awareness) is toegevoegd, dat informatie verzamelt over bronnen, hosts, applicaties en services die beschikbaar zijn op het netwerk.
bron: https://blog.snort.org