Acum câteva luni am împărtășit aici pe blog vestea lansării versiunii beta a Snort 3 y Abia acum câteva zile exista deja o versiune RC pentru această nouă ramură a aplicației.
ca Cisco a anunțat formarea unui candidat la lansare pentru sistemul de prevenire a atacurilor Pufoi 3 (cunoscut și sub numele de proiectul Snort ++), care lucrează la și oprește din 2005. Versiunea stabilă este programată să fie lansată în termen de o lună.
Snort 3 a regândit complet conceptul de produs și a reproiectat arhitectura. Printre domeniile cheie de dezvoltare pentru Snort 3: simplificarea configurației și lansarea Snort, automatizarea configurației, simplificarea limbajului de creare a regulilor, detectarea automată a tuturor protocoalelor, furnizarea unui shell pentru controlul liniei de comandă, utilizarea activă
Snort are o bază de date de atacuri care este actualizată constant prin intermediul internetului. Utilizatorii pot crea semnături bazate pe caracteristicile noilor atacuri de rețea și să le trimită pe lista de corespondență a semnăturilor Snort, această etică a comunității și partajării a făcut din Snort unul dintre cele mai populare, actualizate și cele mai populare IDS bazate pe rețea. multi-threaded cu acces partajat de diferite controlere la o singură configurație.
Ce schimbări există în CR?
S-a făcut o tranziție către un nou sistem de configurare, care oferă o sintaxă simplificată și permite utilizarea scripturilor pentru a genera configurații dinamic. LuaJIT este utilizat pentru procesarea fișierelor de configurare. Pluginurile bazate pe LuaJIT au opțiuni suplimentare pentru reguli și un sistem de înregistrare.
Motorul a fost modernizat pentru a detecta atacurile, regulile au fost actualizate, a fost adăugată capacitatea de a lega tampoane în reguli (tampoane lipicioase). A fost folosit motorul de căutare Hyperscan, care a făcut posibilă utilizarea rapidă și precisă a modelelor declanșate pe baza expresiilor regulate din reguli.
Adăugat un nou mod de introspecție pentru HTTP care este sesiune de stare și acoperă 99% din scenariile acceptate de suita de test HTTP Evader. S-a adăugat un sistem de inspecție pentru traficul HTTP / 2.
Performanța modului de inspecție profundă a pachetelor a fost îmbunătățită semnificativ. A fost adăugată capacitatea de procesare a pachetelor cu mai multe fire, permițând executarea simultană a mai multor fire cu manipulatoare de pachete și oferind scalabilitate liniară pe baza numărului de nuclee CPU.
A fost implementată o stocare comună a tabelelor de configurație și atribute, care este partajată în diferite subsisteme, ceea ce a făcut posibilă reducerea semnificativă a consumului de memorie prin eliminarea duplicării informațiilor.
Noul sistem de jurnal de evenimente care utilizează formatul JSON și este ușor de integrat cu platforme externe precum Elastic Stack.
Tranziția la o arhitectură modulară, abilitatea de a extinde funcționalitatea prin conexiune plug-in și implementarea subsistemelor cheie sub formă de plug-in-uri înlocuibile. In prezent, câteva sute de pluginuri sunt deja implementate pentru Snort 3, care acoperă diverse domenii de aplicații, de exemplu, permițându-vă să adăugați propriile codecuri, moduri de introspecție, metode de înregistrare, acțiuni și opțiuni în reguli.
Dintre celelalte schimbări care se remarcă:
- Detectarea automată a serviciilor care rulează, eliminând necesitatea specificării manuale a porturilor de rețea active.
- A fost adăugat suport pentru fișiere pentru a suprascrie rapid setările în raport cu setările implicite. Utilizarea snort_config.lua și SNORT_LUA_PATH a fost întreruptă pentru a simplifica configurarea. Suport adăugat pentru reîncărcarea setărilor din mers;
- Codul oferă posibilitatea de a utiliza constructele C ++ definite în standardul C ++ 14 (ansamblul necesită un compilator care acceptă C ++ 14).
- A fost adăugat un nou controler VXLAN.
- Căutare îmbunătățită a tipurilor de conținut prin conținut utilizând implementări alternative actualizate ale algoritmilor Boyer-Moore și Hyperscan.
- Lansare accelerată prin utilizarea mai multor fire pentru a compila grupuri de reguli;
- S-a adăugat un nou mecanism de înregistrare.
- A fost adăugat sistemul de inspecție RNA (Real-time Network Awareness), care colectează informații despre resurse, gazde, aplicații și servicii disponibile în rețea.
Fuente: https://blog.snort.org