Etter syv år med utvikling, Cisco har gitt ut den første stabile utgivelsen av angrepsforebyggingssystemet Snort 3 som ble fullstendig redesignet, i tillegg til å forenkle konfigurasjonen og lanseringen av Snort, samt mulighet for å automatisere konfigurasjon, forenkle språket for regelverk, automatisk oppdage alle protokoller, gi en skall for kommandolinjekontroll, aktiv multi-threading med delt tilgang fra forskjellige kontrollere til en enkelt konfigurasjon og mer.
For de som ikke er klar over Snort, bør du vite det kan analysere trafikk i sanntid, svare på oppdaget ondsinnet aktivitet og vedlikeholde en detaljert pakkelogg for senere hendelsesanalyse.
Snort 3-grenen, også kjent som Snort ++ -prosjektet, har tenkt konseptet og arkitekturen til produktet deres på nytt.
Arbeidet med Snort 3 startet i 2005, men ble snart forlatt og ble gjenopptatt i 2013 etter at Cisco overtok prosjektet.
Snort 3 hovednyheter
I den nye versjonen av Snort 3 har blitt overført til et nytt oppsettsystem, som tilbyr en forenklet syntaks og muliggjør bruk av skript for å generere konfigurasjoner dynamisk. LuaJIT brukes til å behandle konfigurasjonsfiler, og LuaJIT-baserte plugins har flere muligheter for regler og et registersystem.
En annen endring som skiller seg ut er at motoren har blitt modernisert for å oppdage angrep, reglene er oppdatert, muligheten til å binde buffere er lagt til i reglene (klebrig buffere) og Hyperscan søkemotoren ble også brukt, noe som gjorde det mulig å bruke utløste mønstre raskere og mer presist basert på regulære uttrykk i reglene;
Også i Snort 3 lagt til en ny introspeksjonsmodus for HTTP som er økt stateful og dekker 99% av scenariene som støttes av HTTP Evader test suite, pluss det ekstra inspeksjonssystemet for HTTP / 2-trafikk.
Ytelsen til dyppakkeinspeksjonsmodus er forbedret betydelig. Multi-threaded pakkebehandlingsfunksjonalitet er lagt til, noe som tillater samtidig utføring av flere tråder med pakkehåndterere og gir lineær skalerbarhet basert på antall CPU-kjerner.
En felles lagring av konfigurasjonstabeller er implementert og attributter, som deles i forskjellige delsystemer, noe som har redusert minneforbruket betydelig ved å eliminere duplisering av informasjon.
Videre også overgangen til en modularkitektur er uthevet, muligheten til å utvide funksjonaliteten gjennom plug-in-tilkobling og implementering av viktige delsystemer i form av utskiftbare plug-ins.
Det er for tiden mer enn 200 plugins for Snort 3, som dekker en rekke bruksområder, for eksempel å la deg legge til dine egne kodeker, introspeksjonsmodi, registreringsmetoder, handlinger og alternativer i reglene.
Av de andre endringene som skiller seg ut fra den nye versjonen:
- Lagt til filstøtte for raskt å overstyre innstillinger i forhold til standardinnstillinger.
- Bruken av snort_config.lua og SNORT_LUA_PATH er avviklet for å forenkle konfigurasjonen.
- Lagt til støtte for omlasting av innstillinger på farten.
- Nytt hendelsesloggsystem som bruker JSON-format og integreres enkelt med eksterne plattformer som Elastic Stack.
- Automatisk gjenkjenning av tjenester som kjører, noe som eliminerer behovet for å spesifisere aktive nettverksporter manuelt.
- Koden gir muligheten til å bruke C ++ -konstruksjonene som er definert i C ++ 14-standarden (enheten krever en kompilator som støtter C ++ 14).
- En ny VXLAN-kontroller er lagt til.
- Forbedret søk på innholdstyper etter innhold ved hjelp av oppdaterte alternative implementeringer av Boyer-Moore og Hyperscan-algoritmene.
- Akselerert lansering ved å bruke flere tråder til å kompilere regelgrupper;
- Lagt til en ny registreringsmekanisme.
- RNA (Real-Time Network Awareness) inspeksjonssystem er lagt til, som samler informasjon om ressurser, verter, applikasjoner og tjenester som er tilgjengelige på nettverket.
Endelig hvis du vil vite mer om det om den nye versjonen, kan du sjekke detaljene i følgende lenke.