Cisco na vývoji kandidáta na vydání pro zcela přepracovaný systém prevence útoků , také známý jako projekt Snort++, na kterém se s přestávkami pracuje od roku 2005. Vydání stabilní verze je plánováno do měsíce.
V pobočce Snort 3 byl koncept produktu zcela přepracován a architektura byla přepracována. Mezi klíčové oblasti vývoje Snortu 3 patří: zjednodušení nastavení a spuštění Snortu, automatizace konfigurace, zjednodušení jazyka pro konstrukci pravidel, automatická detekce všech protokolů, poskytnutí shellu pro ovládání z příkazové řádky, aktivní používání multithreading se společným přístupem různých procesorů k jediné konfiguraci.
Byly implementovány následující významné inovace:
- Byl proveden přechod na nový konfigurační systém, který nabízí zjednodušenou syntaxi a umožňuje použití skriptů pro dynamické generování nastavení. LuaJIT se používá ke zpracování konfiguračních souborů. Zásuvné moduly založené na LuaJIT jsou poskytovány s implementací dalších možností pro pravidla a systém protokolování;
- Byl modernizován engine pro detekci útoků, aktualizována pravidla, přidána možnost vázat buffery v pravidlech (sticky buffers). Byl použit vyhledávač Hyperscan, který umožnil používat rychlé a přesnější šablony založené na regulárních výrazech v pravidlech;
- Přidán nový režim introspekce pro HTTP, který je stavový a pokrývá 99 % situací podporovaných testovací sadou . Přidán systém kontroly provozu HTTP/2;
- Výkon režimu Deep Packet Inspection byl výrazně vylepšen. Přidána schopnost vícevláknového zpracování paketů, což umožňuje současné provádění několika vláken pomocí obslužných programů paketů a poskytuje lineární škálovatelnost v závislosti na počtu jader CPU;
- Implementováno společné úložiště konfiguračních a atributových tabulek, které je sdíleno mezi různými subsystémy, což výrazně snížilo spotřebu paměti díky eliminaci duplikace informací;
- Nový systém protokolování událostí využívající formát JSON a snadno integrovatelný s externími platformami, jako je Elastic Stack;
- Přechod na modulární architekturu, možnost rozšíření funkčnosti pomocí připojení plug-inů a implementace klíčových subsystémů ve formě vyměnitelných plug-inů. V současné době je již implementováno několik stovek pluginů pro Snort 3, které pokrývají různé oblasti použití, například vám umožňují přidávat vlastní kodeky, režimy introspekce, metody protokolování, akce a možnosti v pravidlech;
- Automatická detekce běžících služeb, eliminující nutnost ručního zadávání aktivních síťových portů.
- Přidána podpora souborů pro rychlé přepsání nastavení vzhledem k výchozí konfiguraci. Pro zjednodušení konfigurace bylo ukončeno používání snort_config.lua a SNORT_LUA_PATH.
Přidána podpora pro načítání nastavení za běhu; - Kód poskytuje možnost používat konstrukce C++ definované ve standardu C++14 (sestavení vyžaduje kompilátor, který podporuje C++14);
- Přidán nový ovladač VXLAN;
- Vylepšené vyhledávání typů obsahu podle obsahu pomocí aktualizovaných alternativních implementací algoritmů и ;
- Spouštění je urychlené díky použití několika vláken pro kompilaci skupin pravidel;
- Přidán nový mechanismus protokolování;
- Byl přidán inspekční systém RNA (Real-time Network Awareness), který shromažďuje informace o zdrojích, hostitelích, aplikacích a službách dostupných v síti.
Zdroj: opennet.ru