Los desarrolladores de Cisco dieron a conocer la versión beta final del sistema de prevención de intrusos “Snort 3” el cual fue completamente rediseñado, ya que para esta nueva version los desarrolladores trabajaron en el concepto del producto por completo y la arquitectura se rediseñó.
Entre las áreas que se enfatizaron durante la preparación de la nueva version, se encuentran la configuración simplificada y el lanzamiento de la aplicación, la automatización de la configuración, la simplificación del lenguaje de construcción de reglas, la detección automática de todos los protocolos, la provisión de un shell para la administración de la línea de comandos, el uso activo de subprocesos múltiples con el acceso conjunto de diferentes manejadores para configuración única.
Sobre Snort
Para quienes desconocen de Snort, deben saber que este es un sistema de detección de intrusos en la red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.
Durante su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, entre otros.
Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque.
Snort tiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos.
Principales novedades de la beta final de Snort 3
En esta beta final, Snort presenta una transición a un nuevo sistema de configuración que ofrece una sintaxis simplificada y permite el uso de scripts para la formación dinámica de configuraciones. LuaJIT se usa para procesar archivos de configuración. Los complementos basados en LuaJIT se proporcionan con la implementación de opciones adicionales para reglas y un sistema de registro;
Se ha modernizado el motor para detectar ataques, se han actualizado las reglas, se ha agregado la capacidad de vincular buffers en las reglas (buffers fijos). El motor de búsqueda Hyperscan está involucrado, lo que le permite utilizar patrones disparados rápidos y más precisos basados en expresiones regulares en las reglas;
Se ha agregado un nuevo modo de introspección para HTTP, teniendo en cuenta el estado de la sesión y cubriendo el 99% de las situaciones admitidas por el conjunto de pruebas HTTP Evader . El código se está desarrollando para admitir HTTP / 2.
Aumentó significativamente el rendimiento del modo de inspección profunda de paquetes. Se agregó la capacidad de procesamiento multiproceso de paquetes, lo que permite la ejecución simultánea de múltiples subprocesos con controladores de paquetes y proporciona escalabilidad lineal según el número de núcleos de CPU.
Se ha implementado un repositorio común de tablas de configuración y atributos, que se comparte en diferentes subsistemas, lo que permitió reducir significativamente el consumo de memoria al eliminar la duplicación de información;
Ademas, se implementó un nuevo sistema de registro de eventos que utiliza el formato JSON y se integra fácilmente con plataformas externas como Elastic Stack.
También se destaca la transición a una arquitectura modular, la posibilidad de ampliar la funcionalidad a través de la conexión de complementos y la implementación de subsistemas clave en forma de complementos reemplazables.
Actualmente, Snort 3 ya ha implementado varios cientos de complementos que cubren varios campos de aplicación, por ejemplo, lo que le permite agregar sus propios códecs, modos de introspección, métodos de registro, acciones y opciones en las reglas, ademas de la detección automática de servicios en ejecución, eliminando la necesidad de especificar manualmente los puertos de red activos.
Finalmente si quieres conocer más al respecto o probar esta beta, puedes consultar los detalles en el siguiente enlace.