Vários meses atrás nós compartilhamos aqui no blog as novidades do lançamento da versão beta do Snort 3 y há poucos dias já existia uma versão RC para este novo ramo do aplicativo.
Já que Cisco anunciou a formação de um candidato a lançamento para o sistema de prevenção de ataques Bufo 3 (também conhecido como projeto Snort ++), que está trabalhando intermitentemente desde 2005. A versão estável está programada para ser lançada dentro de um mês.
Snort 3 repensou completamente o conceito do produto e redesenhou a arquitetura. Entre as principais áreas de desenvolvimento do Snort 3: simplificar a configuração e lançamento do Snort, automatizar a configuração, simplificar a linguagem de criação de regras, detectar automaticamente todos os protocolos, fornecer um shell para controle de linha de comando, usar ativo
O Snort possui um banco de dados de ataques que é constantemente atualizado pela internet. Os usuários podem criar assinaturas com base nas características de novos ataques de rede e enviá-las à lista de e-mails de assinaturas do Snort. Essa ética de comunidade e compartilhamento tornou o Snort um dos IDS mais populares, atualizados e mais populares baseados em rede. Robusto multiencadeamento com acesso compartilhado de diferentes controladores a uma única configuração.
Que mudanças estão no CR?
Uma transição para um novo sistema de configuração foi feita, que oferece uma sintaxe simplificada e permite o uso de scripts para gerar configurações dinamicamente. LuaJIT é usado para processar arquivos de configuração. Os plug-ins baseados em LuaJIT têm opções adicionais para regras e um sistema de registro.
O motor foi modernizado para detectar ataques, as regras foram atualizadas, a capacidade de vincular buffers nas regras (buffers fixos) foi adicionada. Foi utilizado o mecanismo de busca Hyperscan, o que possibilitou o uso rápido e preciso de padrões acionados com base em expressões regulares nas regras.
Adicionado um novo modo de introspecção para HTTP que é a sessão com estado e cobre 99% dos cenários suportados pelo conjunto de testes HTTP Evader. Adicionado sistema de inspeção para tráfego HTTP / 2.
O desempenho do modo de inspeção profunda de pacotes foi melhorado significativamente. A capacidade de processamento de pacotes multithread foi adicionada, permitindo a execução simultânea de várias threads com manipuladores de pacotes e fornecendo escalabilidade linear com base no número de núcleos da CPU.
Um armazenamento comum de tabelas de configuração e atributos foi implementado, que é compartilhado em diferentes subsistemas, o que reduziu significativamente o consumo de memória ao eliminar a duplicação de informações.
Novo sistema de log de eventos que usa o formato JSON e se integra facilmente com plataformas externas, como Elastic Stack.
Transição para uma arquitetura modular, a capacidade de estender a funcionalidade por meio de conexão de plug-in e implementação de subsistemas principais na forma de plug-ins substituíveis. Atualmente, várias centenas de plug-ins já estão implementados para Snort 3, Eles cobrem várias áreas de aplicação, por exemplo, permitindo que você adicione seus próprios codecs, modos de introspecção, métodos de registro, ações e opções nas regras.
Das outras mudanças que se destacam:
- Detecção automática de serviços em execução, eliminando a necessidade de especificar manualmente as portas de rede ativas.
- Adicionado suporte de arquivo para substituir rapidamente as configurações relativas às configurações padrão. O uso de snort_config.lua e SNORT_LUA_PATH foi descontinuado para simplificar a configuração. Adicionado suporte para recarregar as configurações em tempo real;
- O código fornece a capacidade de usar as construções C ++ definidas no padrão C ++ 14 (o assembly requer um compilador que suporte C ++ 14).
- Um novo controlador VXLAN foi adicionado.
- Pesquisa aprimorada de tipos de conteúdo por conteúdo usando implementações alternativas atualizadas dos algoritmos Boyer-Moore e Hyperscan.
- Lançamento acelerado usando vários threads para compilar grupos de regras;
- Adicionado um novo mecanismo de registro.
- Foi adicionado o sistema de inspeção RNA (Real-time Network Awareness), que coleta informações sobre recursos, hosts, aplicativos e serviços disponíveis na rede.
fonte: https://blog.snort.org