Cisco konačna beta verzija potpuno redizajniranog sistema za sprečavanje napada , također poznat kao Snort++ projekat, je s prekidima u toku od 2005. godine. Planirano je da kandidat za izdanje bude objavljen kasnije ove godine.
U novoj branši koncept proizvoda je potpuno preispitan i redizajnirana je arhitektura. Od oblasti koje su bile naglašene prilikom pripreme nove grane, tu je pojednostavljenje konfigurisanja i pokretanja Snort-a, automatizacija konfiguracije, pojednostavljenje jezika za izgradnju pravila, automatsko otkrivanje svih protokola, obezbeđivanje ljuske za kontrolu iz komandne linije, aktivno korišćenje višenitnog rada sa zajedničkim pristupom različitih rukovalaca jednoj konfiguraciji.
Implementirane su sljedeće značajne inovacije:
- Napravljen je prelazak na novi konfiguracijski sistem, koji nudi pojednostavljenu sintaksu i omogućava korištenje skripti za dinamičko generiranje postavki. LuaJIT se koristi za obradu konfiguracijskih datoteka. Dodaci zasnovani na LuaJIT-u imaju implementaciju dodatnih opcija za pravila i sistem evidentiranja;
- Moderniziran je motor za otkrivanje napada, ažurirana su pravila, dodata je mogućnost vezivanja bafera u pravila (ljepljive bafere). Korišten je Hyperscan pretraživač koji je omogućio korištenje brzih i preciznijih šablona baziranih na regularnim izrazima u pravilima;
- Dodan je novi način introspekcije za HTTP koji prati stanje sesije i pokriva 99% situacija koje podržava testni paket . Kod za HTTP/2 podršku je u razvoju;
- Performanse načina dubokog pregleda paketa su značajno poboljšane. Dodata mogućnost višenitne obrade paketa, omogućavajući istovremeno izvršavanje nekoliko niti sa rukovaocima paketima i pružajući linearnu skalabilnost u zavisnosti od broja CPU jezgara;
- Implementirano zajedničko spremište konfiguracijskih i atributnih tabela, koje se dijeli između različitih podsistema, što je značajno smanjilo potrošnju memorije zbog eliminacije dupliciranja informacija;
- Novi sistem evidentiranja događaja koji koristi JSON format i lako se integriše sa eksternim platformama kao što je Elastic Stack;
- Prelazak na modularnu arhitekturu, mogućnost proširenja funkcionalnosti kroz povezivanje plug-ina i implementaciju ključnih podsistema u obliku zamjenjivih dodataka. Trenutno je nekoliko stotina dodataka već implementirano za Snort 3, koji pokrivaju različita područja primjene, na primjer, omogućavajući vam da dodate vlastite kodeke, modove introspekcije, metode evidentiranja, radnje i opcije u pravilima;
- Automatsko otkrivanje pokrenutih usluga, eliminirajući potrebu za ručnim specificiranjem aktivnih mrežnih portova.
Promjene od posljednjeg testnog izdanja, koje je objavljeno 2018.:
- Dodata podrška za datoteke za brzu zamjenu postavki u odnosu na zadanu konfiguraciju;
- Kod pruža mogućnost korištenja C++ konstrukcija definiranih u C++14 standardu (izgradnja zahtijeva kompajler koji podržava C++14);
- Dodan novi VXLAN rukovalac;
- Poboljšana pretraga tipova sadržaja po sadržaju pomoću ažuriranih alternativnih implementacija algoritama и ;
- HTTP/2 sistem inspekcije saobraćaja je praktično doveden u punu pripravnost;
- Pokretanje je ubrzano zbog upotrebe nekoliko niti za kompajliranje grupa pravila;
- Dodan novi mehanizam evidentiranja;
- Poboljšano otkrivanje grešaka u Lua-u i optimizirano stavljanje na bijelu listu;
- Izvršene su promjene za implementaciju postavki ponovnog učitavanja u hodu;
- Dodan RNA (Real-time Network Awareness) sistem inspekcije koji prikuplja informacije o resursima, hostovima, aplikacijama i uslugama dostupnim na mreži;
- Upotreba snort_config.lua i SNORT_LUA_PATH je zastarjela kako bi se pojednostavila konfiguracija.
izvor: opennet.ru