Efter sju års utveckling, Cisco har introducerat den första stabila versionen av attackförebyggande systemet Snort 3 som helt redesignades, förutom att förenkla konfigurationen och lanseringen av Snort, liksom möjlighet att automatisera konfigurationen, förenkla regleringsspråket, automatiskt upptäcka alla protokoll, tillhandahålla en skal för kommandoradskontroll, aktiv multitrådning med delad åtkomst mellan olika styrenheter till en enda konfiguration och mer.
För de som inte känner till Snort, borde du veta det kan analysera trafik i realtid, svara på skadlig aktivitet upptäckt och underhålla en detaljerad paketlogg för senare incidentanalys.
Snort 3-filialen, även känd som Snort ++ -projektet, har helt tänkt om konceptet och arkitekturen för sin produkt.
Arbetet med Snort 3 började 2005 men övergavs snart och återupptogs först 2013 efter att Cisco tog över projektet.
Snort 3 huvudnyheter
I den nya versionen av Snort 3 har övergått till ett nytt installationssystem, som erbjuder en förenklad syntax och möjliggör användning av skript för att dynamiskt generera konfigurationer. LuaJIT används för att bearbeta konfigurationsfiler, och LuaJIT-baserade plugins har ytterligare alternativ för regler och ett registersystem.
En annan förändring som sticker ut är att motorn har moderniserats för att upptäcka attacker, reglerna har uppdaterats, förmågan att binda buffertar har lagts till i reglerna (klibbiga buffertar) och Hyperscan-sökmotorn användes också, vilket gjorde det möjligt att använda utlösta mönster snabbare och mer exakt baserat på regelbundna uttryck i reglerna;
Också i Snort 3 lagt till ett nytt introspektionsläge för HTTP som är session stateful och täcker 99% av de scenarier som stöds av HTTP Evader test suite, plus det extra inspektionssystemet för HTTP / 2-trafik.
Prestandan för djuppaketinspektionsläget har förbättrats avsevärt. Flertrådad kapacitet för bearbetning av paket har lagts till, vilket möjliggör samtidig körning av flera trådar med pakethanterare och ger linjär skalbarhet baserat på antalet CPU-kärnor.
En gemensam lagring av konfigurationstabeller har implementerats och attribut, som delas i olika delsystem, vilket har minskat minnesförbrukningen avsevärt genom att eliminera duplicering av information.
Å andra sidan också övergången till en modulär arkitektur markeras, möjligheten att utöka funktionalitet genom plug-ins och implementering av viktiga delsystem i form av utbytbara plug-ins.
Det finns för närvarande över 200 plugins för Snort 3, som täcker en mängd olika användningsområden, till exempel att du kan lägga till dina egna codecs, introspektionslägen, registreringsmetoder, åtgärder och alternativ i reglerna.
Av de andra ändringarna som sticker ut från den nya versionen:
- Lagt till filstöd för att snabbt åsidosätta inställningarna relativt standardinställningarna.
- Användningen av snort_config.lua och SNORT_LUA_PATH har avbrutits för att förenkla konfigurationen.
- Lagt till stöd för att ladda om inställningar i farten.
- Nytt händelseloggsystem som använder JSON-format och enkelt integreras med externa plattformar som Elastic Stack.
- Automatisk detektering av löpande tjänster, vilket eliminerar behovet av att manuellt ange aktiva nätverksportar.
- Koden ger möjlighet att använda C ++ - konstruktioner definierade i C ++ 14-standarden (enheten kräver en kompilator som stöder C ++ 14).
- En ny VXLAN-kontroller har lagts till.
- Förbättrad sökning av innehållstyper med innehåll med uppdaterade alternativa implementeringar av Boyer-Moore och Hyperscan-algoritmer.
- Accelererad lansering genom att använda flera trådar för att kompilera regelgrupper;
- Lade till en ny registreringsmekanism.
- Inspektionssystemet RNA (Real-Time Network Awareness) har lagts till som samlar information om resurser, värdar, applikationer och tjänster som finns tillgängliga i nätverket.
Slutligen om du vill veta mer om det om den nya versionen kan du kontrollera detaljerna i följande länk.