Cisco Company sidste betaversion af et fuldstændigt redesignet angrebsforebyggelsessystem , også kendt som Snort++-projektet, som har arbejdet på med mellemrum siden 2005. En udgivelseskandidat er planlagt til at blive offentliggjort senere i år.
Den nye filial gentænker produktkonceptet og omarbejder arkitekturen fuldstændigt. De områder, der blev lagt vægt på under forberedelsen af den nye branch, omfatter forenkling af Snort-opsætning og -start, automatisering af konfiguration, forenkling af regelopbygningssproget, automatisk detektion af alle protokoller, tilvejebringelse af en shell til kontrol fra kommandolinjen og aktiv brug af multithreading med fælles adgang for forskellige handlere til en enkelt konfiguration.
Følgende væsentlige innovationer er blevet implementeret:
- Der er foretaget en overgang til et nyt konfigurationssystem, der tilbyder en forenklet syntaks og tillader brugen af scripts til dynamisk at generere indstillinger. LuaJIT bruges til at behandle konfigurationsfiler. Plugins baseret på LuaJIT er forsynet med implementering af yderligere muligheder for regler og et logningssystem;
- Angrebsdetektionsmotoren er blevet moderniseret, reglerne er blevet opdateret, og muligheden for at binde buffere i regler (sticky buffers) er blevet tilføjet. Hyperscan søgemaskinen blev brugt, som gjorde det muligt at bruge hurtige og mere præcist udløste mønstre baseret på regulære udtryk i reglerne;
- Tilføjet en ny introspektionstilstand for HTTP, der tager højde for sessionstilstand og dækker 99 % af situationer, der understøttes af testpakken . Kode til understøttelse af HTTP/2 er under udvikling;
- Ydeevnen af den dybe pakkeinspektionstilstand er blevet væsentligt forbedret. Tilføjet muligheden for multi-thread pakkebehandling, hvilket muliggør samtidig udførelse af flere tråde med pakkeprocessorer og giver lineær skalerbarhed afhængigt af antallet af CPU-kerner;
- Der er implementeret en fælles konfigurationslagring og attributtabeller, som deles mellem forskellige undersystemer, hvilket har reduceret hukommelsesforbruget betydeligt ved at eliminere duplikering af information;
- Nyt hændelseslogningssystem ved hjælp af JSON-format og nemt integreret med eksterne platforme såsom Elastic Stack;
- Overgang til en modulær arkitektur, muligheden for at udvide funktionaliteten gennem tilslutning af plugins og implementering af centrale undersystemer i form af udskiftelige plugins. I øjeblikket er der allerede implementeret flere hundrede plugins til Snort 3, der dækker forskellige anvendelsesområder, for eksempel giver dig mulighed for at tilføje dine egne codecs, introspektionstilstande, logningsmetoder, handlinger og muligheder i reglerne;
- Automatisk registrering af kørende tjenester, hvilket eliminerer behovet for manuelt at angive aktive netværksporte.
Ændringer i forhold til den seneste testudgivelse, som blev offentliggjort i 2018:
- Tilføjet understøttelse af filer for hurtigt at tilsidesætte indstillinger i forhold til standardkonfigurationen;
- Koden giver mulighed for at bruge C++-konstruktioner defineret i C++14-standarden (build kræver en compiler, der understøtter C++14);
- Tilføjet ny VXLAN-handler;
- Forbedret søgning efter indholdstyper efter indhold ved hjælp af opdaterede alternative algoritmeimplementeringer и ;
- HTTP/2 trafikinspektionssystemet er næsten blevet bragt til fuld klarhed;
- Opstart accelereres ved at bruge flere tråde til at kompilere grupper af regler;
- Tilføjet en ny logningsmekanisme;
- Forbedret registrering af Lua-fejl og optimerede hvidlister;
- Der er foretaget ændringer for at tillade genindlæsning af indstillinger på farten;
- Et RNA (Real-time Network Awareness) inspektionssystem er blevet tilføjet, der indsamler oplysninger om ressourcer, værter, applikationer og tjenester, der er tilgængelige på netværket;
- For at forenkle konfigurationen er brugen af snort_config.lua og SNORT_LUA_PATH blevet afbrudt.
Kilde: opennet.ru
