Po siedmiu latach rozwoju, Cisco wydało pierwsze stabilne wydanie systemu zapobiegania atakom Snort 3, który został całkowicie przeprojektowany, oprócz uproszczenia konfiguracji i uruchamiania Snort, a także możliwość zautomatyzowania konfiguracji, uprościć język tworzenia reguł, automatycznie wykryj wszystkie protokoły, zapewnij plik powłoka do sterowania wierszem poleceń, aktywna wielowątkowość ze współdzielonym dostępem różnych kontrolerów do jednej konfiguracji i nie tylko.
Powinniście to wiedzieć dla tych, którzy nie są świadomi Snorta może analizować ruch w czasie rzeczywistym i reagować na wykryte złośliwe działania i utrzymuj szczegółowy dziennik pakietów do późniejszej analizy incydentów.
Oddział Snort 3, znany również jako projekt Snort ++, całkowicie przemyślał koncepcję i architekturę swojego produktu.
Prace nad Snort 3 rozpoczęły się w 2005 roku, ale wkrótce zostały przerwane i wznowione dopiero w 2013 roku, po przejęciu projektu przez Cisco.
Snort 3 - główne wiadomości
W nowej wersji Snort 3 został przeniesiony do nowego systemu konfiguracji, Oferuje uproszczoną składnię i pozwala na użycie skryptów do dynamicznego generowania konfiguracji. LuaJIT jest używany do przetwarzania plików konfiguracyjnych, a wtyczki oparte na LuaJIT mają dodatkowe opcje dla reguł i systemu rejestru.
Kolejną wyróżniającą się zmianą jest to silnik został zmodernizowany w celu wykrywania ataków, zasady zostały zaktualizowane, dodano możliwość wiązania buforów w regułach (lepkie bufory) oraz wyszukiwarkę Hyperscan, która umożliwiła szybsze i dokładniejsze wykorzystanie wyzwalanych wzorców w oparciu o wyrażenia regularne w regułach;
Również w Snort 3 dodano nowy tryb introspekcji dla HTTP który jest sesyjny i obejmuje 99% scenariuszy obsługiwanych przez zestaw testowy HTTP Evader, a także dodatkowy system kontroli ruchu HTTP / 2.
Wydajność trybu głębokiej inspekcji pakietów została znacznie poprawiona. Dodano możliwość wielowątkowego przetwarzania pakietów, umożliwiając jednoczesne wykonywanie wielu wątków za pomocą programów obsługi pakietów i zapewniającą liniową skalowalność w oparciu o liczbę rdzeni procesora.
Zaimplementowano wspólne przechowywanie tabel konfiguracyjnych oraz atrybuty, które są współdzielone w różnych podsystemach, co znacznie zmniejszyło zużycie pamięci poprzez wyeliminowanie duplikowania informacji.
Ponadto również podkreśla się przejście do architektury modułowej, możliwość rozszerzenia funkcjonalności poprzez połączenie plug-in oraz implementację kluczowych podsystemów w postaci wymiennych wtyczek.
Obecnie dostępnych jest ponad 200 wtyczek do Snort 3, obejmujących różne zastosowania, takie jak umożliwianie dodawania własnych kodeków, trybów introspekcji, metod rejestracji, akcji i opcji w regułach.
Spośród innych zmian, które wyróżniają się na tle nowej wersji:
- Dodano obsługę plików, aby szybko zastąpić ustawienia względem ustawień domyślnych.
- Użycie snort_config.lua i SNORT_LUA_PATH zostało przerwane w celu uproszczenia konfiguracji.
- Dodano obsługę przeładowywania ustawień w locie.
- Nowy system dziennika zdarzeń, który wykorzystuje format JSON i łatwo integruje się z platformami zewnętrznymi, takimi jak Elastic Stack.
- Automatyczne wykrywanie działających usług, eliminujące konieczność ręcznego określania aktywnych portów sieciowych.
- Kod zapewnia możliwość korzystania z konstrukcji C ++ zdefiniowanych w standardzie C ++ 14 (zestaw wymaga kompilatora obsługującego C ++ 14).
- Dodano nowy kontroler VXLAN.
- Ulepszone wyszukiwanie typów treści według treści przy użyciu zaktualizowanych alternatywnych implementacji algorytmów Boyer-Moore i Hyperscan.
- Przyspieszone uruchamianie dzięki wykorzystaniu wielu wątków do kompilowania grup reguł;
- Dodano nowy mechanizm rejestracji.
- Dodano system inspekcji RNA (Real-time Network Awareness), który zbiera informacje o zasobach, hostach, aplikacjach i usługach dostępnych w sieci.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji możesz sprawdzić szczegóły w poniższym linku.