Cisco finální beta verze zcela přepracovaného systému prevence útoků , také známý jako projekt Snort++, probíhá s přestávkami od roku 2005. Kandidát na vydání je plánován na zveřejnění koncem tohoto roku.
V nové pobočce byl koncept produktu zcela přepracován a architektura byla přepracována. Z oblastí, na které byl kladen důraz při přípravě nové větve, je zjednodušení konfigurace a spuštění Snortu, automatizace konfigurace, zjednodušení jazyka pro tvorbu pravidel, automatická detekce všech protokolů, poskytnutí shellu pro ovládání z příkazové řádky, aktivní používání multithreading se sdíleným přístupem různých obslužných programů k jedné konfiguraci.
Byly implementovány následující významné inovace:
- Byl proveden přechod na nový konfigurační systém, který nabízí zjednodušenou syntaxi a umožňuje použití skriptů pro dynamické generování nastavení. LuaJIT se používá ke zpracování konfiguračních souborů. Zásuvné moduly založené na LuaJIT jsou poskytovány s implementací dalších možností pro pravidla a systém protokolování;
- Byl modernizován engine pro detekci útoků, aktualizována pravidla, přidána možnost vázat buffery v pravidlech (sticky buffers). Byl použit vyhledávač Hyperscan, který umožnil používat rychlé a přesnější šablony založené na regulárních výrazech v pravidlech;
- Přidán nový režim introspekce pro HTTP, který je stavový a pokrývá 99 % situací podporovaných testovací sadou . Kód pro podporu HTTP/2 je ve vývoji;
- Výkon režimu Deep Packet Inspection byl výrazně vylepšen. Přidána schopnost vícevláknového zpracování paketů, což umožňuje současné provádění několika vláken pomocí obslužných programů paketů a poskytuje lineární škálovatelnost v závislosti na počtu jader CPU;
- Implementováno společné úložiště konfiguračních a atributových tabulek, které je sdíleno mezi různými subsystémy, což výrazně snížilo spotřebu paměti díky eliminaci duplikace informací;
- Nový systém protokolování událostí využívající formát JSON a snadno integrovatelný s externími platformami, jako je Elastic Stack;
- Přechod na modulární architekturu, možnost rozšíření funkčnosti pomocí připojení plug-inů a implementace klíčových subsystémů ve formě vyměnitelných plug-inů. V současné době je již implementováno několik stovek pluginů pro Snort 3, které pokrývají různé oblasti použití, například vám umožňují přidávat vlastní kodeky, režimy introspekce, metody protokolování, akce a možnosti v pravidlech;
- Automatická detekce běžících služeb, eliminující nutnost ručního zadávání aktivních síťových portů.
Změny od poslední testovací verze, která byla zveřejněna v roce 2018:
- Přidána podpora souborů pro rychlé přepsání nastavení vzhledem k výchozí konfiguraci;
- Kód poskytuje možnost používat konstrukce C++ definované ve standardu C++14 (sestavení vyžaduje kompilátor, který podporuje C++14);
- Přidán nový ovladač VXLAN;
- Vylepšené vyhledávání typů obsahu podle obsahu pomocí aktualizovaných alternativních implementací algoritmů и ;
- Systém kontroly provozu HTTP/2 byl prakticky uveden do plné připravenosti;
- Spouštění je urychlené díky použití několika vláken pro kompilaci skupin pravidel;
- Přidán nový mechanismus protokolování;
- Vylepšená detekce chyb Lua a optimalizovaný whitelisting;
- Byly provedeny změny k implementaci nastavení opětovného načítání za běhu;
- Přidán inspekční systém RNA (Real-time Network Awareness), který shromažďuje informace o zdrojích, hostitelích, aplikacích a službách dostupných v síti;
- Použití snort_config.lua a SNORT_LUA_PATH bylo pro zjednodušení konfigurace zastaralé.
Zdroj: opennet.ru