For flere måneder siden delte vi her på bloggen nyheten om utgivelsen av betaversjonen av Snort 3 y det var bare for noen dager siden at det allerede var en RC-versjon for denne nye grenen av applikasjonen.
som Cisco kunngjorde dannelsen av en lanseringskandidat for angrepsforebyggingssystemet Snør 3 (også kjent som Snort ++ -prosjektet), som har jobbet på og av siden 2005. Den stabile versjonen er planlagt utgitt innen en måned.
Snort 3 har tenkt produktkonseptet helt om og redesignet arkitekturen. Blant de viktigste utviklingsområdene for Snort 3: forenkle konfigurasjonen og lanseringen av Snort, automatisere konfigurasjonen, forenkle språket for oppretting av regler, automatisk oppdage alle protokoller, gi et skall for kommandolinjekontroll, bruk aktiv
Snort har en database med angrep som kontinuerlig oppdateres via internett. Brukere kan lage signaturer basert på egenskapene til nye nettverksangrep og sende dem til Snorts signaturadresseliste. Denne etikken med fellesskap og deling har gjort Snort til en av de mest populære, oppdaterte og mest populære nettverksbaserte IDS. flertrådet med delt tilgang fra forskjellige kontrollere til en enkelt konfigurasjon.
Hvilke endringer er det i CR?
En overgang til et nytt konfigurasjonssystem er gjort, som tilbyr en forenklet syntaks og tillater bruk av skript for å generere konfigurasjoner dynamisk. LuaJIT brukes til å behandle konfigurasjonsfiler. LuaJIT-baserte plugins har flere muligheter for regler og et registreringssystem.
Motor har blitt modernisert for å oppdage angrep, reglene er oppdatert, muligheten til å binde buffere i reglene (klebrig buffere) er lagt til. Hyperscan-søkemotoren har blitt brukt, noe som gjorde det mulig å raskt og nøyaktig bruke utløste mønstre basert på regulære uttrykk i reglene.
La til en ny introspeksjonsmodus for HTTP som er økt stateful og dekker 99% av scenariene som støttes av HTTP Evader test suite. Lagt til inspeksjonssystem for HTTP / 2-trafikk.
Ytelsen til dyp pakkeinspeksjonsmodus er forbedret betydelig. Flertrådet pakkebehandlingsfunksjonalitet er lagt til, noe som muliggjør samtidig utføring av flere tråder med pakkehåndterere og gir lineær skalerbarhet basert på antall CPU-kjerner.
En vanlig lagring av konfigurasjons- og attributtabeller er implementert, som deles i forskjellige delsystemer, noe som har redusert minneforbruket betydelig ved å eliminere duplisering av informasjon.
Nytt hendelsesloggsystem som bruker JSON-format og integreres enkelt med eksterne plattformer som Elastic Stack.
Overgang til en modulær arkitektur, muligheten til å utvide funksjonaliteten gjennom plug-in-tilkobling og implementering av viktige delsystemer i form av utskiftbare plug-ins. På nåværende tidspunkt, flere hundre plugins er allerede implementert for Snort 3, De dekker ulike applikasjonsområder, for eksempel slik at du kan legge til dine egne kodeker, introspeksjonsmodi, registreringsmetoder, handlinger og alternativer i reglene.
Av de andre endringene som skiller seg ut:
- Automatisk gjenkjenning av tjenester som kjører, noe som eliminerer behovet for å spesifisere aktive nettverksporter manuelt.
- Lagt til filstøtte for raskt å overstyre innstillinger i forhold til standardinnstillinger. Bruken av snort_config.lua og SNORT_LUA_PATH er avviklet for å forenkle konfigurasjonen. Lagt til støtte for omlasting av innstillinger på farten;
- Koden gir muligheten til å bruke C ++ -konstruksjonene som er definert i C ++ 14-standarden (enheten krever en kompilator som støtter C ++ 14).
- En ny VXLAN-kontroller er lagt til.
- Forbedret søk på innholdstyper etter innhold ved hjelp av oppdaterte alternative implementeringer av Boyer-Moore og Hyperscan-algoritmene.
- Akselerert lansering ved å bruke flere tråder til å kompilere regelgrupper;
- Lagt til en ny registreringsmekanisme.
- RNA (Real-Time Network Awareness) inspeksjonssystem er lagt til, som samler informasjon om ressurser, verter, applikasjoner og tjenester som er tilgjengelige på nettverket.
Fuente: https://blog.snort.org