L Dezvoltatorii Cisco au lansat ultima versiune beta Sistem de prevenire a intruziunilor "Snort 3" care a fost complet reproiectat, deoarece pentru această nouă versiune dezvoltatorii au lucrat complet la conceptul de produs și arhitectura a fost reproiectată.
Printre domeniile care au fost accentuate În timpul pregătirii noii versiuni, veți găsi fișierul configurare și lansare simplificate cererii, automatizarea configurației, simplificarea limbajului de construcție a regulilor, detectarea automată a tuturor protocoalelor, furnizarea unui shell pentru administrarea liniei de comandă, utilizarea activă a multithreading-ului cu accesul comun al diferitelor handler-uri pentru o singură configurație.
Despre Snort
Pentru cei care nu știu de Snort, ar trebui să știți că eAcesta este un sistem de detectare a intruziunilor în rețea, gratuit și gratuit. Oferă posibilitatea de a stoca jurnalele în fișiere text și în baze de date deschis, ca MySQL. Implementează un motor de detectare a atacurilor și de scanare a porturilor care permite înregistrarea, alertarea și răspunsul la orice anomalii definite anterior.
În timpul instalării sale, oferă sute de filtre sau reguli pentru backdoor, DDoS, finger, FTP, atacuri web, CGI, Nmap, printre altele.
Poate funcționa ca un sniffer și un jurnal de pachete. Când un pachet se potrivește cu un model stabilit în regulile de configurare, acesta este înregistrat. Astfel știi când, de unde și cum a avut loc atacul.
Snort are o bază de date de atacuri care este actualizată constant prin intermediul internetului. Utilizatorii pot crea semnături bazate pe caracteristicile noilor atacuri de rețea și să le trimită pe lista de corespondență a semnăturilor Snort, această etică a comunității și partajării a făcut din Snort unul dintre cele mai populare, actualizate și cele mai populare IDS bazate pe rețea. .
Snort 3 final beta beta
În această versiune beta finală, Snort introduce o tranziție la un nou sistem de configurare care oferă o sintaxă simplificată și permite utilizarea scripturilor pentru formarea configurației dinamice. LuaJIT este utilizat pentru procesarea fișierelor de configurare. Pluginurile bazate pe LuaJIT sunt furnizate cu implementarea de opțiuni suplimentare pentru reguli și un sistem de registru;
Motorul de detectare a atacurilor a fost modernizat, regulile au fost actualizate, A fost adăugată capacitatea de a lega tampoane în reguli (tampoane fixe). Este implicat motorul de căutare Hyperscan, permițându-vă să utilizați modele de declanșare mai rapide și mai precise bazate pe expresii regulate în regulile dvs.;
Un nou mod de introspecție a fost adăugat pentru HTTP, luând în considerare starea sesiunii și acoperind 99% din situațiile suportate de suita de test HTTP Evader. Codul este dezvoltat pentru a accepta HTTP / 2.
Performanța modului de inspecție profundă a pachetelor a crescut semnificativ. A fost adăugată capacitatea de procesare a pachetelor cu mai multe fire, permițând executarea simultană a mai multor fire cu manipulatoare de pachete și oferind scalabilitate liniară pe baza numărului de nuclee CPU.
A fost implementat un depozit comun de tabele de configurație și atribute, care este partajat în diferite subsisteme, ceea ce a făcut posibilă reducerea semnificativă a consumului de memorie prin eliminarea duplicării informațiilor;
În plus, un nNoul sistem de jurnal de evenimente care utilizează formatul JSON și se integrează cu ușurință cu platforme externe precum Elastic Stack.
de asemenea se evidențiază trecerea la o arhitectură modulară, capacitatea de a extinde funcționalitatea prin conectarea la plug-in și implementarea subsistemelor cheie sub formă de plug-in-uri înlocuibile.
În prezent, Snort 3 a implementat deja câteva sute de pluginuri care acoperă diferite domenii de aplicație, de exemplu, permițându-vă să adăugați propriile codecuri, moduri de introspecție, metode de înregistrare, acțiuni și opțiuni în reguli, pe lângă detectarea automată. , eliminând necesitatea specificării manuale a porturilor de rețea active.
În cele din urmă dacă vrei să afli mai multe despre asta sau încercați această versiune beta, puteți verifica detaliile în următorul link.