För flera månader sedan delade vi här på bloggen nyheterna om lanseringen av betaversionen av Snort 3 y det var bara för några dagar sedan att det redan fanns en RC-version för denna nya gren av applikationen.
som Cisco meddelade bildandet av en lanseringskandidat för attackförebyggande systemet Snarka 3 (även känt som Snort ++ -projektet), som har arbetat på och av sedan 2005. Den stabila versionen är planerad att släppas inom en månad.
Snort 3 har helt tänkt om produktkonceptet och omformat arkitekturen. Bland de viktigaste utvecklingsområdena för Snort 3: förenkla konfigurationen och lanseringen av Snort, automatisera konfigurationen, förenkla språket för skapande av regel, detektera automatiskt alla protokoll, tillhandahålla ett skal för kommandoradskontroll, använd aktiv
Snort har en databas med attacker som ständigt uppdateras via internet. Användare kan skapa signaturer baserade på egenskaperna hos nya nätverksattacker och skicka dem till Snorts signaturutskickningslista, denna etik för gemenskap och delning har gjort Snort till ett av de mest populära, uppdaterade och mest populära nätverksbaserade IDS. flertrådad med delad åtkomst av olika styrenheter till en enda konfiguration.
Vilka förändringar finns i CR?
En övergång till ett nytt konfigurationssystem har gjorts, som erbjuder en förenklad syntax och tillåter användning av skript för att dynamiskt generera konfigurationer. LuaJIT används för att bearbeta konfigurationsfiler. LuaJIT-baserade plugins har ytterligare alternativ för regler och ett registreringssystem.
Motorn har moderniserats för att upptäcka attacker, reglerna har uppdaterats, möjligheten att binda buffertar i reglerna (klibbiga buffertar) har lagts till. Hyperscan-sökmotorn har använts, vilket gjorde det möjligt att snabbt och exakt använda utlösta mönster baserat på regelbundna uttryck i reglerna.
Lagt till ett nytt introspektionsläge för HTTP som är session stateful och täcker 99% av de scenarier som stöds av HTTP Evader test suite. Lagt till inspektionssystem för HTTP / 2-trafik.
Prestanda för djuppaketinspektionsläge har förbättrats betydligt. Möjlighet att bearbeta paket med flera trådar har lagts till, vilket möjliggör samtidig körning av flera trådar med pakethanterare och ger linjär skalbarhet baserat på antalet CPU-kärnor.
En gemensam lagring av konfigurations- och attributtabeller har implementerats, som delas i olika delsystem, vilket har minskat minnesförbrukningen avsevärt genom att eliminera dubblering av information.
Nytt händelseloggsystem som använder JSON-format och enkelt integreras med externa plattformar som Elastic Stack.
Övergång till en modulär arkitektur, förmågan att utöka funktionalitet genom plug-in-anslutning och implementering av viktiga delsystem i form av utbytbara plug-ins. För närvarande, flera hundra plugins har redan implementerats för Snort 3, som täcker olika applikationsområden, till exempel så att du kan lägga till dina egna codecs, introspektionslägen, registreringsmetoder, åtgärder och alternativ i reglerna.
Av de andra förändringarna som sticker ut:
- Automatisk detektering av löpande tjänster, vilket eliminerar behovet av att manuellt ange aktiva nätverksportar.
- Lagt till filstöd för att snabbt åsidosätta inställningar i förhållande till standardinställningar. Användningen av snort_config.lua och SNORT_LUA_PATH har avbrutits för att förenkla konfigurationen. Lagt till stöd för att ladda om inställningar i farten;
- Koden ger möjlighet att använda C ++ - konstruktioner definierade i C ++ 14-standarden (enheten kräver en kompilator som stöder C ++ 14).
- En ny VXLAN-kontroller har lagts till.
- Förbättrad sökning efter innehållstyper med innehåll med uppdaterade alternativa implementeringar av Boyer-Moore och Hyperscan-algoritmerna.
- Accelererad lansering genom att använda flera trådar för att kompilera regelgrupper;
- Lade till en ny registreringsmekanism.
- Inspektionssystemet RNA (Real-Time Network Awareness) har lagts till som samlar information om resurser, värdar, applikationer och tjänster som finns tillgängliga i nätverket.
Fuente: https://blog.snort.org