Разработчики Cisco выпустили финальную бета-версию Система предотвращения вторжений «Фырканье 3» который был полностью переработан, поскольку для этой новой версии разработчики полностью проработали концепцию продукта и была изменена архитектура.
Среди областей, которые были подчеркнуты Во время подготовки новой версии упрощенная настройка и запуск приложения, автоматизация конфигурации, упрощение языка построения правил, автоматическое определение всех протоколов, предоставление оболочки для администрирования из командной строки, активное использование многопоточности с совместным доступом разных обработчиков для единой настройки.
О Snort
Тем, кто не знаком с Snort, следует знать, что eЭто система обнаружения сетевых вторжений, бесплатно и бесплатно. Предлагает возможность хранить журналы в текстовых файлах и в базах данных. открытый, как MySQL. Он реализует механизм обнаружения атак и сканирования портов, который позволяет регистрировать, предупреждать и реагировать на любые ранее определенные аномалии.
Во время его установки предоставляет сотни фильтров или правил для бэкдора, DDoS, finger, FTP, веб-атак, CGI, Nmap и других.
Он может работать как сниффер и как журнал пакетов. Когда пакет соответствует шаблону, установленному в правилах конфигурации, он регистрируется. Так вы узнаете, когда, где и как произошло нападение.
Snort имеет базу данных об атаках, которая постоянно обновляется через Интернет. Пользователи могут создавать подписи на основе характеристик новых сетевых атак и отправлять их в список рассылки подписей Snort, эта этика сообщества и совместного использования сделала Snort одной из самых популярных, современных и самых популярных сетевых IDS. .
Обзор финальной беты Snort 3
В этой последней бета-версии Snort представляет переход на новую систему конфигурации, которая предлагает упрощенный синтаксис и позволяет использовать сценарии для формирования динамической конфигурации. LuaJIT используется для обработки файлов конфигурации. Плагины на основе LuaJIT предоставляются с реализацией дополнительных опций для правил и системы реестра;
Модернизирован движок обнаружения атак, обновлены правила, Добавлена возможность связывать буферы в правилах (фиксированные буферы). Включена поисковая система Hyperscan, позволяющая использовать более быстрые и точные шаблоны срабатывания, основанные на регулярных выражениях в ваших правилах;
Добавлен новый режим интроспекции для HTTP, с учетом состояния сеанса и охвата 99% ситуаций, поддерживаемых набором тестов HTTP Evader. Код разрабатывается для поддержки HTTP / 2.
Значительно повысилась производительность режима глубокой проверки пакетов. Добавлена возможность многопоточной обработки пакетов, позволяющая одновременное выполнение нескольких потоков с помощью обработчиков пакетов и обеспечивающая линейную масштабируемость в зависимости от количества ядер ЦП.
Реализован единый репозиторий конфигурационных и атрибутных таблиц, который используется в разных подсистемах, что позволило значительно снизить потребление памяти за счет исключения дублирования информации;
Кроме того, nНовая система журналов событий, использующая формат JSON и легко интегрируется с внешними платформами, такими как Elastic Stack.
также выделен переход к модульной архитектуре, возможность расширения функциональности за счет подключения плагинов и реализации ключевых подсистем в виде заменяемых плагинов.
В настоящее время Snort 3 уже реализовал несколько сотен плагинов, которые охватывают различные области применения, например, позволяя вам добавлять свои собственные кодеки, режимы самоанализа, методы регистрации, действия и параметры в правилах в дополнение к автоматическому обнаружению. Запущенные службы, устранение необходимости вручную указывать активные сетевые порты.
В конце концов если вы хотите узнать об этом больше или попробуйте эту бета-версию, вы можете проверить подробности в по следующей ссылке.