Cisco Company о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Følgende væsentlige innovationer er blevet implementeret:
- Der er foretaget en overgang til et nyt konfigurationssystem, der tilbyder en forenklet syntaks og tillader brugen af scripts til dynamisk at generere indstillinger. LuaJIT bruges til at behandle konfigurationsfiler. Plugins baseret på LuaJIT er forsynet med implementering af yderligere muligheder for regler og et logningssystem;
- Angrebsdetektionsmotoren er blevet moderniseret, reglerne er blevet opdateret, og muligheden for at binde buffere i regler (sticky buffers) er blevet tilføjet. Hyperscan søgemaskinen blev brugt, som gjorde det muligt at bruge hurtige og mere præcist udløste mønstre baseret på regulære udtryk i reglerne;
- Tilføjet en ny introspektionstilstand for HTTP, der tager højde for sessionstilstand og dækker 99 % af situationer, der understøttes af testpakken . Добавлена система инспектирования трафика HTTP/2;
- Ydeevnen af den dybe pakkeinspektionstilstand er blevet væsentligt forbedret. Tilføjet muligheden for multi-thread pakkebehandling, hvilket muliggør samtidig udførelse af flere tråde med pakkeprocessorer og giver lineær skalerbarhed afhængigt af antallet af CPU-kerner;
- Der er implementeret en fælles konfigurationslagring og attributtabeller, som deles mellem forskellige undersystemer, hvilket har reduceret hukommelsesforbruget betydeligt ved at eliminere duplikering af information;
- Nyt hændelseslogningssystem ved hjælp af JSON-format og nemt integreret med eksterne platforme såsom Elastic Stack;
- Overgang til en modulær arkitektur, muligheden for at udvide funktionaliteten gennem tilslutning af plugins og implementering af centrale undersystemer i form af udskiftelige plugins. I øjeblikket er der allerede implementeret flere hundrede plugins til Snort 3, der dækker forskellige anvendelsesområder, for eksempel giver dig mulighed for at tilføje dine egne codecs, introspektionstilstande, logningsmetoder, handlinger og muligheder i reglerne;
- Automatisk registrering af kørende tjenester, hvilket eliminerer behovet for manuelt at angive aktive netværksporte.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - Koden giver mulighed for at bruge C++-konstruktioner defineret i C++14-standarden (build kræver en compiler, der understøtter C++14);
- Tilføjet ny VXLAN-handler;
- Forbedret søgning efter indholdstyper efter indhold ved hjælp af opdaterede alternative algoritmeimplementeringer и ;
- Opstart accelereres ved at bruge flere tråde til at kompilere grupper af regler;
- Tilføjet en ny logningsmekanisme;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Kilde: opennet.ru