Matapos ang ilang buwan, ang CR ng Snort 3 ay tuluyang pinakawalan.

Darkcrizt

4 Minutos

Ilang buwan na ang nakakalipas ay nagbahagi kami dito sa blog ang balita ng paglabas ng beta na bersyon ng Snort 3 y ilang araw lamang ang nakakalipas na mayroon nang isang bersyon ng RC para sa bagong sangay ng aplikasyon.

Mula noon Inanunsyo ng Cisco ang pagbuo ng isang kandidato para sa paglunsad ang sistema ng pag-iwas sa pag-atake Ngumuso 3 (aka ang proyekto ng Snort ++), na kung saan ay gumagana at naka-off mula pa noong 2005. Ang matatag na bersyon ay naka-iskedyul na mailabas sa loob ng isang buwan.

Ang Snort 3 ay ganap na muling nag-isip ng konsepto ng produkto at muling idisenyo ang arkitektura. Kabilang sa mga pangunahing lugar ng pag-unlad para sa Snort 3: pagpapasimple ng pagsasaayos at paglunsad ng Snort, pag-automate ng pagsasaayos, pagpapasimple ng wika ng paglikha ng panuntunan, awtomatikong pagtuklas ng lahat ng mga protocol, pagbibigay ng isang shell para sa kontrol ng linya ng utos, paggamit aktibo

Ang Snort ay may isang database ng mga pag-atake na patuloy na na-update sa pamamagitan ng internet. Ang mga gumagamit ay maaaring lumikha ng mga lagda batay sa mga katangian ng mga bagong pag-atake sa network at isumite ang mga ito sa listahan ng pirma ng pirma ni Snort, ang etika ng pamayanan at pagbabahagi na ginawang Snort ang isa sa pinakatanyag, napapanahon at pinakatanyag na IDS na batay sa network. Ang matatag na multi-threaded na may nakabahaging pag-access ng iba't ibang mga controller sa isang solong pagsasaayos.

Ano ang mga pagbabago sa CR?

Ang isang paglipat sa isang bagong sistema ng pagsasaayos ay nagawa, na nag-aalok ng isang pinasimple na syntax at pinapayagan ang paggamit ng mga script upang makabuo ng mga pagsasaayos. Ginagamit ang LuaJIT upang maproseso ang mga file ng pagsasaayos. Ang mga plugin na batay sa LuaJIT ay may mga karagdagang pagpipilian para sa mga patakaran at isang sistema ng pagpaparehistro.

Ang engine ay na-moderno upang makita ang mga pag-atake, na-update ang mga patakaran, naidagdag ang kakayahang magbigkis ng mga buffer sa mga patakaran (malagkit na buffer). Ang search engine ng Hyperscan ay ginamit, na naging posible upang mabilis at tumpak na magamit ang mga na-trigger na pattern batay sa regular na mga expression sa mga panuntunan.

Dinagdagan isang bagong mode ng pagsisiyasat para sa HTTP na kung saan ay naka-state state at sumasaklaw sa 99% ng mga scenario na suportado ng HTTP Evader test suite. Nagdagdag ng inspeksyon system para sa HTTP / 2 trapiko.

Ang pagganap ng malalim na packet inspeksyon mode ay napabuti makabuluhang Ang kakayahan sa pagproseso ng multi-threaded packet ay naidagdag, na pinapayagan ang sabay-sabay na pagpapatupad ng maraming mga thread na may mga packet handler at pagbibigay ng linear scalability batay sa bilang ng mga core ng CPU.

Ang isang karaniwang pag-iimbak ng mga talahanayan ng pagsasaayos at katangian ay ipinatupad, na ibinabahagi sa iba't ibang mga subsystem, na naging posible upang mabawasan nang malaki ang pagkonsumo ng memorya sa pamamagitan ng pag-aalis ng pagkopya ng impormasyon.

Ang bagong system ng log ng kaganapan na gumagamit ng format na JSON at madaling isinasama sa mga panlabas na platform tulad ng Elastic Stack.

Paglipat sa isang modular na arkitektura, ang kakayahang pahabain ang pagpapaandar sa pamamagitan ng koneksyon sa plug-in at pagpapatupad ng mga pangunahing subsystem sa anyo ng mga maaaring palitan na mga plug-in. Sa kasalukuyan, ilang daang mga plugin ay ipinatupad na para sa Snort 3, na sumasaklaw sa iba't ibang mga lugar ng aplikasyon, halimbawa pinapayagan kang magdagdag ng iyong sariling mga codec, mode ng pagsisiyasat, pamamaraan sa pagpaparehistro, pagkilos at mga pagpipilian sa mga patakaran.

Sa iba pang mga pagbabago na namumukod-tangi:

  • Awtomatikong pagtuklas ng pagpapatakbo ng mga serbisyo, inaalis ang pangangailangan upang manu-manong tukuyin ang mga aktibong network port.
  • Nagdagdag ng suporta sa file upang mabilis na i-override ang mga setting na nauugnay sa mga default na setting. Ang paggamit ng snort_config.lua at SNORT_LUA_PATH ay hindi na ipinagpatuloy upang gawing simple ang pagsasaayos. Nagdagdag ng suporta para sa pag-reload ng mga setting nang mabilis;
  • Nagbibigay ang code ng kakayahang gamitin ang mga C ++ construct na tinukoy sa pamantayan ng C ++ 14 (ang pagpupulong ay nangangailangan ng isang tagatala na sumusuporta sa C ++ 14).
  • Ang isang bagong VXLAN controller ay naidagdag.
  • Pinahusay na paghahanap para sa mga uri ng nilalaman sa pamamagitan ng nilalaman na gumagamit ng na-update na kahaliling pagpapatupad ng mga Boyer-Moore at Hyperscan algorithm.
  • Pinabilis ang paglunsad sa pamamagitan ng paggamit ng maraming mga thread upang mag-ipon ng mga pangkat ng panuntunan;
  • Nagdagdag ng isang bagong mekanismo sa pagpaparehistro.
  • Ang RNA (Real-time Network Awcious) na inspeksyon na sistema ay naidagdag, na nangongolekta ng impormasyon tungkol sa mga mapagkukunan, host, application at serbisyo na magagamit sa network.

Fuente: https://blog.snort.org


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.