Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
E seguenti innovazioni significative sò state implementate:
- Una transizione hè stata fatta à un novu sistema di cunfigurazione chì offre una sintassi simplificata è permette l'usu di script per generà dinamicamente paràmetri. LuaJIT hè utilizatu per processà i schedarii di cunfigurazione. I plugins basati in LuaJIT sò furniti cù l'implementazione di opzioni supplementari per e regule è un sistema di logging;
- U mutore di deteczione di l'attaccu hè statu mudernizatu, i reguli sò stati aghjurnati, è a capacità di ligà i buffers in regule (buffers appiccicosa) hè stata aghjunta. U mutore di ricerca Hyperscan hè stata utilizata, chì hà permessu d'utilizà mudelli rapidi è più accurati basati nantu à espressioni regulari in e regule;
- Aggiuntu un novu modu d'introspezione per HTTP chì piglia in contu u statu di sessione è copre u 99% di situazioni supportate da a suite di teste. . В разработке находится код для поддержки HTTP/2;
- U rendimentu di u modu d'ispezione di pacchetti profondi hè statu migliuratu significativamente. Aggiunta l'abilità di processazione di pacchetti multi-thread, chì permette l'esecuzione simultanea di parechji filamenti cù processori di pacchetti è furnisce una scalabilità lineale secondu u numeru di core CPU;
- Un almacenamentu di cunfigurazione cumuni è e tavule di attributi sò stati implementati, chì hè spartutu trà i diversi sottosistemi, chì hà riduciutu significativamente u cunsumu di memoria eliminendu a duplicazione di l'infurmazioni;
- Novu sistema di registrazione di l'avvenimenti cù u formatu JSON è facilmente integratu cù e plataforme esterne cum'è Elastic Stack;
- Transizione à una architettura modulare, a capacità di espansione a funziunalità attraversu plugins di cunnessione è implementendu sottosistemi chjave in forma di plugins rimpiazzabili. Attualmente, parechji cintunari di plugins sò digià implementati per Snort 3, chì coprenu diversi spazii di applicazione, per esempiu, chì vi permettenu di aghjunghje i vostri codecs, modi d'introspezione, metudi di logging, azzioni è opzioni in e regule;
- Rilevazione automatica di servizii in esecuzione, eliminendu a necessità di specificà manualmente i porti di rete attivi.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- U codice furnisce l'abilità d'utilizà custruzzioni C++ definite in u standard C++ 14 (custruisce richiede un compilatore chì sustene C++ 14);
- Aggiuntu novu gestore VXLAN;
- Ricerca migliorata per i tipi di cuntenutu per cuntenutu utilizendu implementazioni di algoritmi alternativi aghjurnati и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- L'iniziu hè acceleratu usendu parechje fili per cumpilà gruppi di regule;
- Aggiuntu un novu mecanismu di logu;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Source: opennet.ru