Po siedmich rokoch vývoja Spoločnosť Cisco vydala prvé stabilné vydanie systému prevencie útokov Snort 3, ktorý bol úplne prepracovaný, okrem zjednodušenia konfigurácie a spustenia Snort, ako aj možnosť automatizovať konfiguráciu, zjednodušiť jazyk tvorby pravidiel, automaticky detekovať všetky protokoly, poskytnúť a shell pre ovládanie z príkazového riadku, aktívne multi-threading so zdieľaným prístupom rôznych radičov k jednej konfigurácii a ešte viac.
Pre tých, ktorí Snort nepoznajú, mali by ste to vedieť dokáže analyzovať prenos v reálnom čase a reagovať na zistenú škodlivú činnosť a udržiavať podrobný protokol balíka pre neskoršiu analýzu incidentov.
Pobočka Snort 3, známa tiež ako projekt Snort ++, kompletne prehodnotila koncepciu a architektúru svojho produktu.
Práce na Snort 3 sa začali v roku 2005, ale čoskoro sa od nich upustilo a obnovili sa až v roku 2013 po prevzatí projektu spoločnosťou Cisco.
Odfrknite 3 hlavné správy
V novej verzii Snort 3 bol prevedený na nový systém nastavenia, ktorá ponúka zjednodušenú syntax a umožňuje použitie skriptov na dynamické generovanie konfigurácií. LuaJIT sa používa na spracovanie konfiguračných súborov a doplnky založené na LuaJIT majú ďalšie možnosti pre pravidlá a systém registrov.
Ďalšou vynikajúcou zmenou je táto motor bol modernizovaný na detekciu útokov, pravidlá boli aktualizované, pridaná schopnosť viazať vyrovnávaciu pamäť v pravidlách (lepiace vyrovnávacie pamäte) a bol použitý aj vyhľadávací modul Hyperscan, ktorý umožňoval rýchlejšie a presnejšie používať spustené vzory na základe regulárnych výrazov v pravidlách;
Tiež v Snort 3 pridal nový introspekčný režim pre HTTP čo je stav relácie a pokrýva 99% scenárov podporovaných testovacou sadou HTTP Evader, plus pridaný kontrolný systém pre prenos HTTP / 2.
Výkon režimu hĺbkovej kontroly paketov sa výrazne zlepšil. Bola pridaná funkcia spracovania paketov s viacerými vláknami, ktorá umožňuje súčasné vykonávanie viacerých vlákien pomocou obslužných rutín paketov a poskytuje lineárnu škálovateľnosť na základe počtu jadier CPU.
Bolo implementované spoločné úložisko konfiguračných tabuliek a atribúty, ktoré sú zdieľané v rôznych subsystémoch, čo výrazne znížilo spotrebu pamäte odstránením duplikácie informácií.
Navyše tiež je zvýraznený prechod na modulárnu architektúru, schopnosť rozšíriť funkčnosť prostredníctvom pripojenia pomocou doplnkov a implementácie kľúčových subsystémov vo forme vymeniteľných doplnkov.
V súčasnosti existuje viac ako 200 doplnkov pre Snort 3, ktoré pokrývajú rôzne použitia, napríklad umožňujú vám pridať do pravidiel svoje vlastné kodeky, režimy introspekcie, spôsoby registrácie, akcie a možnosti.
Z ďalších zmien, ktoré vyčnievajú z novej verzie:
- Pridaná podpora súborov na rýchle prepísanie nastavení oproti predvoleným nastaveniam.
- Používanie súborov snort_config.lua a SNORT_LUA_PATH bolo kvôli zjednodušeniu konfigurácie prerušené.
- Pridaná podpora pre priebežné načítanie nastavení.
- Nový systém denníkov udalostí, ktorý používa formát JSON a ľahko sa integruje s externými platformami, ako je Elastic Stack.
- Automatická detekcia spustených služieb, eliminujúca potrebu ručného určovania aktívnych sieťových portov.
- Tento kód poskytuje možnosť používať konštrukty C ++ definované v štandarde C ++ 14 (zostava vyžaduje kompilátor, ktorý podporuje C ++ 14).
- Bol pridaný nový radič VXLAN.
- Vylepšené vyhľadávanie typov obsahu podľa obsahu pomocou aktualizovaných alternatívnych implementácií algoritmov Boyer-Moore a Hyperscan.
- Zrýchlené spustenie pomocou viacerých vlákien na zostavenie skupín pravidiel;
- Bol pridaný nový mechanizmus registrácie.
- Pribudol kontrolný systém RNA (Real-time Network Awareness), ktorý zhromažďuje informácie o zdrojoch, hostiteľoch, aplikáciách a službách dostupných v sieti.
Konečne ak o tom chcete vedieť viac o novej verzii si môžete skontrolovať podrobnosti v nasledujúcom odkaze.