Kilka miesięcy temu udostępniliśmy tutaj na blogu wiadomość o wydaniu wersji beta Snort 3 y dopiero kilka dni temu była już wersja RC dla tej nowej gałęzi aplikacji.
Od Cisco ogłosiło utworzenie kandydata na uruchomienie system zapobiegania atakom Wciągnij 3 (znany również jako projekt Snort ++), który działa i nie działa od 2005 roku. Stabilna wersja ma zostać wydana w ciągu miesiąca.
Snort 3 całkowicie przemyślał koncepcję produktu i przeprojektował architekturę. Wśród kluczowych obszarów rozwoju Snort 3: uproszczenie konfiguracji i uruchamiania Snorta, automatyzacja konfiguracji, uproszczenie języka tworzenia reguł, automatyczne wykrywanie wszystkich protokołów, zapewnienie powłoki do sterowania z linii poleceń, użycie aktywny
Snort posiada bazę danych ataków, która jest stale aktualizowana przez Internet. Użytkownicy mogą tworzyć sygnatury w oparciu o cechy nowych ataków sieciowych i wysyłać je na listę mailingową podpisów Snorta. Ta etyka społeczności i dzielenia się sprawiła, że Snort stał się jednym z najpopularniejszych, aktualnych i najpopularniejszych IDS opartych na sieci. Solidna wielowątkowość ze współdzielonym dostępem różnych kontrolerów do jednej konfiguracji.
Jakie zmiany zaszły w CR?
Dokonano przejścia do nowego systemu konfiguracji, który oferuje uproszczoną składnię i pozwala na użycie skryptów do dynamicznego generowania konfiguracji. LuaJIT służy do przetwarzania plików konfiguracyjnych. Wtyczki oparte na LuaJIT mają dodatkowe opcje reguł i system rejestracji.
Silnik został zmodernizowany w celu wykrywania ataków, zasady zostały zaktualizowane, dodano możliwość wiązania buforów w regułach (bufory lepkie). Wykorzystano wyszukiwarkę Hyperscan, która umożliwiła szybkie i dokładne wykorzystanie wyzwalanych wzorców opartych na wyrażeniach regularnych w regułach.
Dodany nowy tryb introspekcji dla HTTP który jest sesyjny i obejmuje 99% scenariuszy obsługiwanych przez zestaw testów HTTP Evader. Dodano system kontroli ruchu HTTP / 2.
Poprawiono wydajność trybu głębokiej inspekcji pakietów znacząco. Dodano możliwość wielowątkowego przetwarzania pakietów, co pozwala na jednoczesne wykonywanie wielu wątków z obsługą pakietów i zapewnia liniową skalowalność w oparciu o liczbę rdzeni procesora.
Zaimplementowano wspólne przechowywanie tabel konfiguracji i atrybutów, które jest współdzielone w różnych podsystemach, co znacznie zmniejszyło zużycie pamięci, eliminując duplikowanie informacji.
Nowy system dziennika zdarzeń, który wykorzystuje format JSON i łatwo integruje się z platformami zewnętrznymi, takimi jak Elastic Stack.
Przejście do architektury modułowej, możliwość rozszerzenia funkcjonalności poprzez połączenie plug-in i implementację kluczowych podsystemów w postaci wymiennych wtyczek. Obecnie, kilkaset wtyczek jest już zaimplementowanych dla Snort 3, Obejmują różne obszary zastosowań, na przykład umożliwiają dodawanie własnych kodeków, trybów introspekcji, metod rejestracji, akcji i opcji w regułach.
Z innych wyróżniających się zmian:
- Automatyczne wykrywanie działających usług, eliminujące konieczność ręcznego określania aktywnych portów sieciowych.
- Dodano obsługę plików, aby szybko zastąpić ustawienia względem ustawień domyślnych. Użycie snort_config.lua i SNORT_LUA_PATH zostało przerwane w celu uproszczenia konfiguracji. Dodano obsługę przeładowywania ustawień w locie;
- Kod zapewnia możliwość korzystania z konstrukcji C ++ zdefiniowanych w standardzie C ++ 14 (zestaw wymaga kompilatora obsługującego C ++ 14).
- Dodano nowy kontroler VXLAN.
- Ulepszone wyszukiwanie typów treści według treści przy użyciu zaktualizowanych alternatywnych implementacji algorytmów Boyer-Moore i Hyperscan.
- Przyspieszone uruchamianie dzięki wykorzystaniu wielu wątków do kompilowania grup reguł;
- Dodano nowy mechanizm rejestracji.
- Dodano system inspekcji RNA (Real-time Network Awareness), który zbiera informacje o zasobach, hostach, aplikacjach i usługach dostępnych w sieci.
źródło: https://blog.snort.org