Cisco o razvoju kandidata za izdavanje za potpuno redizajniran sistem za prevenciju napada , također poznat kao projekat Snort++, na kojem se s prekidima radi od 2005. godine. Planirano je da stabilno izdanje bude objavljeno u roku od mjesec dana.
U ogranku Snort 3, koncept proizvoda je potpuno preispitan i arhitektura je redizajnirana. Među ključnim oblastima razvoja Snort 3: pojednostavljenje podešavanja i pokretanja Snort-a, automatizacija konfiguracije, pojednostavljenje jezika za konstruisanje pravila, automatsko otkrivanje svih protokola, obezbeđenje ljuske za kontrolu iz komandne linije, aktivna upotreba multithreading sa zajedničkim pristupom različitih procesora jednoj konfiguraciji.
Implementirane su sljedeće značajne inovacije:
- Napravljen je prelazak na novi konfiguracijski sistem, koji nudi pojednostavljenu sintaksu i omogućava korištenje skripti za dinamičko generiranje postavki. LuaJIT se koristi za obradu konfiguracijskih datoteka. Dodaci zasnovani na LuaJIT-u imaju implementaciju dodatnih opcija za pravila i sistem evidentiranja;
- Moderniziran je motor za otkrivanje napada, ažurirana su pravila, dodata je mogućnost vezivanja bafera u pravila (ljepljive bafere). Korišten je Hyperscan pretraživač koji je omogućio korištenje brzih i preciznijih šablona baziranih na regularnim izrazima u pravilima;
- Dodan je novi način introspekcije za HTTP koji prati stanje sesije i pokriva 99% situacija koje podržava testni paket . Dodat HTTP/2 sistem inspekcije saobraćaja;
- Performanse načina dubokog pregleda paketa su značajno poboljšane. Dodata mogućnost višenitne obrade paketa, omogućavajući istovremeno izvršavanje nekoliko niti sa rukovaocima paketima i pružajući linearnu skalabilnost u zavisnosti od broja CPU jezgara;
- Implementirano zajedničko spremište konfiguracijskih i atributnih tabela, koje se dijeli između različitih podsistema, što je značajno smanjilo potrošnju memorije zbog eliminacije dupliciranja informacija;
- Novi sistem evidentiranja događaja koji koristi JSON format i lako se integriše sa eksternim platformama kao što je Elastic Stack;
- Prelazak na modularnu arhitekturu, mogućnost proširenja funkcionalnosti kroz povezivanje plug-ina i implementaciju ključnih podsistema u obliku zamjenjivih dodataka. Trenutno je nekoliko stotina dodataka već implementirano za Snort 3, koji pokrivaju različita područja primjene, na primjer, omogućavajući vam da dodate vlastite kodeke, modove introspekcije, metode evidentiranja, radnje i opcije u pravilima;
- Automatsko otkrivanje pokrenutih usluga, eliminirajući potrebu za ručnim specificiranjem aktivnih mrežnih portova.
- Dodata podrška za datoteke za brzu zamjenu postavki u odnosu na zadanu konfiguraciju. Radi pojednostavljenja konfiguracije, upotreba snort_config.lua i SNORT_LUA_PATH je prekinuta.
Dodata podrška za ponovno učitavanje postavki u hodu; - Kod pruža mogućnost korištenja C++ konstrukcija definiranih u C++14 standardu (izgradnja zahtijeva kompajler koji podržava C++14);
- Dodan novi VXLAN rukovalac;
- Poboljšana pretraga tipova sadržaja po sadržaju pomoću ažuriranih alternativnih implementacija algoritama и ;
- Pokretanje je ubrzano zbog upotrebe nekoliko niti za kompajliranje grupa pravila;
- Dodan novi mehanizam evidentiranja;
- Dodan je sistem inspekcije RNA (Real-time Network Awareness) koji prikuplja informacije o resursima, hostovima, aplikacijama i uslugama dostupnim na mreži.
izvor: opennet.ru