Po sedmih letih razvoja, Cisco je izdal prvo stabilno izdajo sistema za preprečevanje napadov Snort 3, ki je bil popolnoma preoblikovan, poleg poenostavitve konfiguracije in zagona Snort, pa tudi možnost avtomatizacije konfiguracije, poenostavite jezik za oblikovanje pravil, samodejno zaznajte vse protokole, zagotovite a lupina za nadzor ukazne vrstice, aktivno večnitnost s skupnim dostopom različnih krmilnikov do ene same konfiguracije in še več.
Za tiste, ki se ne zavedajo smrčanja, morate to vedeti lahko v realnem času analizira promet in se odzove na zaznane zlonamerne dejavnosti in vzdržujte podroben dnevnik paketov za poznejšo analizo incidentov.
Podružnica Snort 3, znana tudi kot projekt Snort ++, je popolnoma preoblikovala koncept in arhitekturo svojega izdelka.
Delo na Snort 3 se je začelo leta 2005, vendar je bilo kmalu opuščeno in nadaljevano šele leta 2013, potem ko je projekt prevzel Cisco.
Smrknite 3 glavne novice
V novi različici Snort 3 je bil premeščen v nov sistem za nastavitev, ki ponuja poenostavljeno sintakso in omogoča uporabo skriptov za dinamično ustvarjanje konfiguracij. LuaJIT se uporablja za obdelavo konfiguracijskih datotek, vtičniki, ki temeljijo na LuaJIT, pa imajo dodatne možnosti za pravila in sistem registra.
Druga sprememba, ki izstopa, je ta motor je bil posodobljen za odkrivanje napadov, pravila so bila posodobljena, dodana je sposobnost vezave medpomnilnikov v pravilih (lepljivi odbojniki) in uporabljen tudi iskalnik Hyperscan, ki je omogočil hitrejšo in natančnejšo uporabo sproženih vzorcev na podlagi regularnih izrazov v pravilih;
Tudi v Snort 3 je dodal nov način introspekcije za HTTP ki vključuje stanje seje in zajema 99% scenarijev, ki jih podpira testni paket HTTP Evader, ter dodani sistem za nadzor prometa HTTP / 2.
Zmogljivost načina globokega pregleda paketov je bila bistveno izboljšana. Dodana je zmožnost večnitne obdelave paketov, ki omogoča hkratno izvajanje več niti z upravljavci paketov in zagotavlja linearno razširljivost glede na število procesorskih jeder.
Izvedena je bila skupna shramba konfiguracijskih tabel in atribute, ki je v skupni rabi v različnih podsistemih, kar je znatno zmanjšalo porabo pomnilnika z odpravo podvajanja informacij.
Še več, tudi poudarjen je prehod na modularno arhitekturo, možnost razširitve funkcionalnosti s pomočjo vtičnih povezav in izvajanje ključnih podsistemov v obliki zamenljivih vtičnikov.
Trenutno obstaja več kot 200 vtičnikov za Snort 3, ki pokrivajo različne uporabe, na primer, da lahko v pravila dodate lastne kodeke, načine introspekcije, načine registracije, dejanja in možnosti.
Od ostalih sprememb, ki izstopajo iz nove različice:
- Dodana podpora za datoteke za hitro preglasitev nastavitev glede na privzete nastavitve.
- Zaradi poenostavitve konfiguracije je bila prekinjena uporaba snort_config.lua in SNORT_LUA_PATH.
- Dodana podpora za ponovno nalaganje nastavitev sproti.
- Nov sistem dnevnika dogodkov, ki uporablja format JSON in je enostavno integriran z zunanjimi platformami, kot je Elastic Stack.
- Samodejno zaznavanje delujočih storitev brez potrebe po ročnem določanju aktivnih omrežnih vrat.
- Koda omogoča uporabo konstrukcij C ++, opredeljenih v standardu C ++ 14 (sklop zahteva prevajalnik, ki podpira C ++ 14).
- Dodan je nov krmilnik VXLAN.
- Izboljšano iskanje vrst vsebine po vsebini z uporabo posodobljenih alternativnih izvedb algoritmov Boyer-Moore in Hyperscan.
- Pospešena izdaja z uporabo več niti za prevajanje skupin pravil;
- Dodan nov mehanizem za registracijo.
- Dodan je sistem za nadzor RNA (Real-time Network Awareness), ki zbira informacije o virih, gostiteljih, aplikacijah in storitvah, ki so na voljo v omrežju.
Končno če želite vedeti več o tem o novi različici lahko preverite podrobnosti na naslednji povezavi.