Cisco finale beta-weergawe van 'n heeltemal herontwerpte aanvalvoorkomingstelsel , ook bekend as die Snort++-projek, waaraan met tussenposes sedert 2005 gewerk word. ’n Vrystellingskandidaat word beplan om later vanjaar gepubliseer te word.
In die nuwe tak word die produkkonsep heeltemal heroorweeg en die argitektuur herontwerp. Onder die areas wat beklemtoon is tydens die voorbereiding van 'n nuwe tak, was daar 'n vereenvoudiging van die opstel en bekendstelling van Snort, outomatisering van konfigurasie, vereenvoudiging van die taal vir die konstruksie van reëls, outomatiese opsporing van alle protokolle, voorsiening van 'n dop vir beheer vanaf die opdrag lyn, aktiewe gebruik van multithreading met gedeelde toegang van verskillende verwerkers tot enkele konfigurasie.
Die volgende belangrike innovasies is geïmplementeer:
- 'n Oorgang is gemaak na 'n nuwe konfigurasiestelsel wat 'n vereenvoudigde sintaksis bied en die gebruik van skrifte toelaat om instellings dinamies te genereer. LuaJIT word gebruik om konfigurasielêers te verwerk. Inproppe gebaseer op LuaJIT word voorsien met die implementering van bykomende opsies vir reëls en 'n aantekenstelsel;
- Die aanvalopsporingsenjin is gemoderniseer, die reëls is opgedateer en die vermoë om buffers in reëls (taai buffers) te bind, is bygevoeg. Die Hyperscan-soekenjin is gebruik, wat dit moontlik gemaak het om vinnige en meer akkuraat geaktiveerde patrone te gebruik gebaseer op gereelde uitdrukkings in die reëls;
- 'n Nuwe introspeksiemodus vir HTTP bygevoeg wat sessietoestand in ag neem en 99% van situasies dek wat deur die toetssuite ondersteun word . Kode om HTTP/2 te ondersteun is in ontwikkeling;
- Die werkverrigting van die dieppakkie-inspeksiemodus is aansienlik verbeter. Bygevoeg die vermoë om multi-draad pakkie verwerking, wat gelyktydige uitvoering van verskeie drade met pakkie verwerkers moontlik maak en die verskaffing van lineêre skaalbaarheid afhangende van die aantal SVE kerns;
- 'n Algemene konfigurasieberging en kenmerktabelle is geïmplementeer, wat tussen verskillende substelsels gedeel word, wat geheueverbruik aansienlik verminder het deur duplisering van inligting uit te skakel;
- Nuwe gebeurtenisregistrasiestelsel met behulp van JSON-formaat en maklik geïntegreer met eksterne platforms soos Elastic Stack;
- Oorgang na 'n modulêre argitektuur, die vermoë om funksionaliteit uit te brei deur plugins te koppel en sleutelsubstelsels in die vorm van vervangbare plugins te implementeer. Tans is 'n paar honderd plugins reeds vir Snort 3 geïmplementeer, wat verskeie toepassingsgebiede dek, byvoorbeeld, sodat jy jou eie kodeks, introspeksiemodusse, logmetodes, aksies en opsies in die reëls kan byvoeg;
- Outomatiese opsporing van lopende dienste, wat die behoefte uitskakel om aktiewe netwerkpoorte handmatig te spesifiseer.
Veranderinge in vergelyking met die laaste toetsvrystelling, wat in 2018 gepubliseer is:
- Bygevoeg ondersteuning vir lêers om vinnig instellings te ignoreer relatief tot die verstek konfigurasie;
- Die kode bied die vermoë om C++-konstrukte te gebruik wat in die C++14-standaard gedefinieer is (bou vereis 'n samesteller wat C++14 ondersteun);
- Bygevoeg nuwe VXLAN hanteerder;
- Verbeterde soektog na inhoudtipes volgens inhoud met behulp van opgedateerde alternatiewe algoritme-implementerings и ;
- Die HTTP/2 verkeersinspeksiestelsel is amper tot volle gereedheid gebring;
- Opstart word versnel deur verskeie drade te gebruik om groepe reëls saam te stel;
- Bygevoeg 'n nuwe aanteken meganisme;
- Verbeterde opsporing van Lua-foute en geoptimaliseerde witlyste;
- Veranderinge is aangebring om die herlaai van instellings in die lug moontlik te maak;
- 'n RNA (Real-time Network Awareness) inspeksiestelsel is bygevoeg, wat inligting versamel oor hulpbronne, gashere, toepassings en dienste wat op die netwerk beskikbaar is;
- Om konfigurasie te vereenvoudig, is die gebruik van snort_config.lua en SNORT_LUA_PATH gestaak.
Bron: opennet.ru