Após vários meses, o CR do Snort 3 foi finalmente lançado.

Darkcrizt

Minutos 4

Vários meses atrás nós compartilhamos aqui no blog as novidades do lançamento da versão beta do Snort 3 y há poucos dias já existia uma versão RC para este novo ramo do aplicativo.

Já que Cisco anunciou a formação de um candidato a lançamento para o sistema de prevenção de ataques Bufo 3 (também conhecido como projeto Snort ++), que está trabalhando intermitentemente desde 2005. A versão estável está programada para ser lançada dentro de um mês.

Snort 3 repensou completamente o conceito do produto e redesenhou a arquitetura. Entre as principais áreas de desenvolvimento do Snort 3: simplificar a configuração e lançamento do Snort, automatizar a configuração, simplificar a linguagem de criação de regras, detectar automaticamente todos os protocolos, fornecer um shell para controle de linha de comando, usar ativo

O Snort possui um banco de dados de ataques que é constantemente atualizado pela internet. Os usuários podem criar assinaturas com base nas características de novos ataques de rede e enviá-las à lista de e-mails de assinaturas do Snort. Essa ética de comunidade e compartilhamento tornou o Snort um dos IDS mais populares, atualizados e mais populares baseados em rede. Robusto multiencadeamento com acesso compartilhado de diferentes controladores a uma única configuração.

Que mudanças estão no CR?

Uma transição para um novo sistema de configuração foi feita, que oferece uma sintaxe simplificada e permite o uso de scripts para gerar configurações dinamicamente. LuaJIT é usado para processar arquivos de configuração. Os plug-ins baseados em LuaJIT têm opções adicionais para regras e um sistema de registro.

O motor foi modernizado para detectar ataques, as regras foram atualizadas, a capacidade de vincular buffers nas regras (buffers fixos) foi adicionada. Foi utilizado o mecanismo de busca Hyperscan, o que possibilitou o uso rápido e preciso de padrões acionados com base em expressões regulares nas regras.

Adicionado um novo modo de introspecção para HTTP que é a sessão com estado e cobre 99% dos cenários suportados pelo conjunto de testes HTTP Evader. Adicionado sistema de inspeção para tráfego HTTP / 2.

O desempenho do modo de inspeção profunda de pacotes foi melhorado significativamente. A capacidade de processamento de pacotes multithread foi adicionada, permitindo a execução simultânea de várias threads com manipuladores de pacotes e fornecendo escalabilidade linear com base no número de núcleos da CPU.

Um armazenamento comum de tabelas de configuração e atributos foi implementado, que é compartilhado em diferentes subsistemas, o que reduziu significativamente o consumo de memória ao eliminar a duplicação de informações.

Novo sistema de log de eventos que usa o formato JSON e se integra facilmente com plataformas externas, como Elastic Stack.

Transição para uma arquitetura modular, a capacidade de estender a funcionalidade por meio de conexão de plug-in e implementação de subsistemas principais na forma de plug-ins substituíveis. Atualmente, várias centenas de plug-ins já estão implementados para Snort 3, Eles cobrem várias áreas de aplicação, por exemplo, permitindo que você adicione seus próprios codecs, modos de introspecção, métodos de registro, ações e opções nas regras.

Das outras mudanças que se destacam:

  • Detecção automática de serviços em execução, eliminando a necessidade de especificar manualmente as portas de rede ativas.
  • Adicionado suporte de arquivo para substituir rapidamente as configurações relativas às configurações padrão. O uso de snort_config.lua e SNORT_LUA_PATH foi descontinuado para simplificar a configuração. Adicionado suporte para recarregar as configurações em tempo real;
  • O código fornece a capacidade de usar as construções C ++ definidas no padrão C ++ 14 (o assembly requer um compilador que suporte C ++ 14).
  • Um novo controlador VXLAN foi adicionado.
  • Pesquisa aprimorada de tipos de conteúdo por conteúdo usando implementações alternativas atualizadas dos algoritmos Boyer-Moore e Hyperscan.
  • Lançamento acelerado usando vários threads para compilar grupos de regras;
  • Adicionado um novo mecanismo de registro.
  • Foi adicionado o sistema de inspeção RNA (Real-time Network Awareness), que coleta informações sobre recursos, hosts, aplicativos e serviços disponíveis na rede.

fonte: https://blog.snort.org


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.