Po kilku miesiącach CR Snort 3 został wreszcie wydany.

Kilka miesięcy temu udostępniliśmy tutaj na blogu wiadomość o wydaniu wersji beta Snort 3 y dopiero kilka dni temu była już wersja RC dla tej nowej gałęzi aplikacji.

Od Cisco ogłosiło utworzenie kandydata na uruchomienie system zapobiegania atakom Wciągnij 3 (znany również jako projekt Snort ++), który działa i nie działa od 2005 roku. Stabilna wersja ma zostać wydana w ciągu miesiąca.

Snort 3 całkowicie przemyślał koncepcję produktu i przeprojektował architekturę. Wśród kluczowych obszarów rozwoju Snort 3: uproszczenie konfiguracji i uruchamiania Snorta, automatyzacja konfiguracji, uproszczenie języka tworzenia reguł, automatyczne wykrywanie wszystkich protokołów, zapewnienie powłoki do sterowania z linii poleceń, użycie aktywny

Snort posiada bazę danych ataków, która jest stale aktualizowana przez Internet. Użytkownicy mogą tworzyć sygnatury w oparciu o cechy nowych ataków sieciowych i wysyłać je na listę mailingową podpisów Snorta. Ta etyka społeczności i dzielenia się sprawiła, że ​​Snort stał się jednym z najpopularniejszych, aktualnych i najpopularniejszych IDS opartych na sieci. Solidna wielowątkowość ze współdzielonym dostępem różnych kontrolerów do jednej konfiguracji.

Jakie zmiany zaszły w CR?

Dokonano przejścia do nowego systemu konfiguracji, który oferuje uproszczoną składnię i pozwala na użycie skryptów do dynamicznego generowania konfiguracji. LuaJIT służy do przetwarzania plików konfiguracyjnych. Wtyczki oparte na LuaJIT mają dodatkowe opcje reguł i system rejestracji.

Silnik został zmodernizowany w celu wykrywania ataków, zasady zostały zaktualizowane, dodano możliwość wiązania buforów w regułach (bufory lepkie). Wykorzystano wyszukiwarkę Hyperscan, która umożliwiła szybkie i dokładne wykorzystanie wyzwalanych wzorców opartych na wyrażeniach regularnych w regułach.

Dodany nowy tryb introspekcji dla HTTP który jest sesyjny i obejmuje 99% scenariuszy obsługiwanych przez zestaw testów HTTP Evader. Dodano system kontroli ruchu HTTP / 2.

Poprawiono wydajność trybu głębokiej inspekcji pakietów znacząco. Dodano możliwość wielowątkowego przetwarzania pakietów, co pozwala na jednoczesne wykonywanie wielu wątków z obsługą pakietów i zapewnia liniową skalowalność w oparciu o liczbę rdzeni procesora.

Zaimplementowano wspólne przechowywanie tabel konfiguracji i atrybutów, które jest współdzielone w różnych podsystemach, co znacznie zmniejszyło zużycie pamięci, eliminując duplikowanie informacji.

Nowy system dziennika zdarzeń, który wykorzystuje format JSON i łatwo integruje się z platformami zewnętrznymi, takimi jak Elastic Stack.

Przejście do architektury modułowej, możliwość rozszerzenia funkcjonalności poprzez połączenie plug-in i implementację kluczowych podsystemów w postaci wymiennych wtyczek. Obecnie, kilkaset wtyczek jest już zaimplementowanych dla Snort 3, Obejmują różne obszary zastosowań, na przykład umożliwiają dodawanie własnych kodeków, trybów introspekcji, metod rejestracji, akcji i opcji w regułach.

Z innych wyróżniających się zmian:

  • Automatyczne wykrywanie działających usług, eliminujące konieczność ręcznego określania aktywnych portów sieciowych.
  • Dodano obsługę plików, aby szybko zastąpić ustawienia względem ustawień domyślnych. Użycie snort_config.lua i SNORT_LUA_PATH zostało przerwane w celu uproszczenia konfiguracji. Dodano obsługę przeładowywania ustawień w locie;
  • Kod zapewnia możliwość korzystania z konstrukcji C ++ zdefiniowanych w standardzie C ++ 14 (zestaw wymaga kompilatora obsługującego C ++ 14).
  • Dodano nowy kontroler VXLAN.
  • Ulepszone wyszukiwanie typów treści według treści przy użyciu zaktualizowanych alternatywnych implementacji algorytmów Boyer-Moore i Hyperscan.
  • Przyspieszone uruchamianie dzięki wykorzystaniu wielu wątków do kompilowania grup reguł;
  • Dodano nowy mechanizm rejestracji.
  • Dodano system inspekcji RNA (Real-time Network Awareness), który zbiera informacje o zasobach, hostach, aplikacjach i usługach dostępnych w sieci.

źródło: https://blog.snort.org


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.