Snort 3 ajunge cu o reproiectare totală și aceste noutăți

Darkcrizt

Minute 4

După șapte ani de dezvoltare, Cisco a prezentat prima versiune stabilă sistem de prevenire a atacurilor Snort 3 care a fost complet reproiectat, pe lângă simplificarea configurației și lansării lui Snort, precum și a posibilitatea de a automatiza configurarea, simplificați limbajul de creare a regulilor, detectați automat toate protocoalele, furnizați a shell pentru controlul liniei de comandă, utilizarea activă a multi-threading-ului cu acces partajat al diferitelor controlere la o singură configurație și multe altele.

Pentru cei care nu știu despre Snort, ar trebui să știți asta poate analiza traficul în timp real, răspunde la activitățile rău intenționate detectate și menține un jurnal detaliat de pachete pentru analiza ulterioară a incidentelor.

Ramura Snort 3, cunoscută și sub numele de proiectul Snort++, a regândit complet conceptul și arhitectura produsului său.

Lucrările la Snort 3 au început în 2005, dar au fost abandonate în curând și au fost reluate abia în 2013, după ce Cisco a preluat proiectul.

Principalele caracteristici noi ale Snort 3

În noua versiune de Snort 3 a fost trecut la un nou sistem de configurare, care oferă o sintaxă simplificată și permite utilizarea de scripturi pentru a genera configurații în mod dinamic. LuaJIT este folosit pentru a procesa fișierele de configurare, plus pluginurile bazate pe LuaJIT oferă opțiuni suplimentare pentru reguli și un sistem de înregistrare.

O altă schimbare care iese în evidență este că Motorul a fost modernizat pentru a detecta atacurile, regulile au fost actualizate, capacitatea adăugată de a lega bufferele în reguli (sticky buffers) și a fost folosit și motorul de căutare Hyperscan, care a făcut posibilă utilizarea rapidă și mai precisă a modelelor activate bazate pe expresii regulate din reguli;

În plus, în Snort 3 a adăugat un nou mod de introspecție pentru HTTP care are stare de sesiune și acoperă 99% din scenariile suportate de suita de testare HTTP Evader, plus sistemul de inspecție adăugat pentru traficul HTTP/2.

Performanța modului de inspecție profundă a pachetelor a fost îmbunătățită semnificativ. S-a adăugat capacitatea de procesare a pachetelor cu mai multe fire, permițând execuția simultană a mai multor fire de execuție cu gestionare de pachete și oferind scalabilitate liniară bazată pe numărul de nuclee CPU.

S-a implementat stocarea comună a tabelelor de configurare și atribute, care este partajată în diferite subsisteme, ceea ce a permis reducerea semnificativă a consumului de memorie prin eliminarea dublării informațiilor.

Mai mult, de asemenea se evidențiază trecerea la o arhitectură modulară, capacitatea de a extinde funcționalitatea prin conectarea pluginurilor și implementarea subsistemelor cheie sub formă de pluginuri înlocuibile.

În prezent, există peste 200 de plugin-uri pentru Snort 3, care acoperă o varietate de utilizări, cum ar fi permițându-vă să adăugați propriile codecuri, moduri de introspecție, metode de înregistrare, acțiuni și opțiuni în reguli.

Dintre celelalte modificări care se deosebesc de noua versiune:

  • S-a adăugat suport pentru fișiere pentru a suprascrie rapid setările în raport cu setările implicite.
  • Utilizarea snort_config.lua și SNORT_LUA_PATH a fost întreruptă pentru a simplifica configurarea.
  • S-a adăugat suport pentru reîncărcarea setărilor din mers.
  • Noul sistem de jurnal de evenimente care utilizează formatul JSON și este ușor de integrat cu platforme externe precum Elastic Stack.
  • Detectarea automată a serviciilor care rulează, eliminând necesitatea specificării manuale a porturilor de rețea active.
  • Codul oferă posibilitatea de a utiliza constructele C++ definite în standardul C++14 (asamblarea necesită un compilator care acceptă C++14).
  • A fost adăugat un nou controler VXLAN.
  • Căutare îmbunătățită a tipurilor de conținut după conținut folosind implementări alternative actualizate ale algoritmilor Boyer-Moore și Hyperscan.
  • Lansare accelerată prin utilizarea mai multor fire pentru a compila grupuri de reguli;
  • S-a adăugat un nou mecanism de înregistrare.
  • A fost adăugat sistemul de inspecție RNA (Real-time Network Awareness), care colectează informații despre resurse, gazde, aplicații și servicii disponibile în rețea.

În cele din urmă dacă vrei să afli mai multe despre asta despre noua versiune, puteți consulta detaliile din următorul link.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.