Cisco Company финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Έχουν εφαρμοστεί οι ακόλουθες σημαντικές καινοτομίες:
- Έγινε μια μετάβαση σε ένα νέο σύστημα διαμόρφωσης που προσφέρει μια απλοποιημένη σύνταξη και επιτρέπει τη χρήση σεναρίων για τη δυναμική δημιουργία ρυθμίσεων. Το LuaJIT χρησιμοποιείται για την επεξεργασία αρχείων διαμόρφωσης. Τα πρόσθετα που βασίζονται στο LuaJIT παρέχονται με την εφαρμογή πρόσθετων επιλογών για κανόνες και ένα σύστημα καταγραφής.
- Η μηχανή ανίχνευσης επίθεσης εκσυγχρονίστηκε, οι κανόνες ενημερώθηκαν και προστέθηκε η δυνατότητα δέσμευσης buffer σε κανόνες (sticky buffers). Χρησιμοποιήθηκε η μηχανή αναζήτησης Hyperscan, η οποία κατέστησε δυνατή τη χρήση γρήγορων και ακριβέστερων ενεργοποιημένων μοτίβων με βάση κανονικές εκφράσεις στους κανόνες.
- Προστέθηκε μια νέα λειτουργία ενδοσκόπησης για το HTTP που λαμβάνει υπόψη την κατάσταση συνεδρίας και καλύπτει το 99% των καταστάσεων που υποστηρίζονται από τη δοκιμαστική σουίτα . В разработке находится код для поддержки HTTP/2;
- Η απόδοση της λειτουργίας επιθεώρησης σε βάθος πακέτων έχει βελτιωθεί σημαντικά. Προστέθηκε η δυνατότητα επεξεργασίας πακέτων πολλαπλών νημάτων, επιτρέποντας την ταυτόχρονη εκτέλεση πολλών νημάτων με επεξεργαστές πακέτων και παρέχοντας γραμμική επεκτασιμότητα ανάλογα με τον αριθμό των πυρήνων της CPU.
- Έχουν εφαρμοστεί ένας κοινός πίνακας αποθήκευσης ρυθμίσεων και χαρακτηριστικών, ο οποίος μοιράζεται μεταξύ διαφορετικών υποσυστημάτων, γεγονός που έχει μειώσει σημαντικά την κατανάλωση μνήμης εξαλείφοντας την επικάλυψη πληροφοριών.
- Νέο σύστημα καταγραφής συμβάντων που χρησιμοποιεί μορφή JSON και ενσωματώνεται εύκολα με εξωτερικές πλατφόρμες όπως το Elastic Stack.
- Μετάβαση σε μια αρθρωτή αρχιτεκτονική, δυνατότητα επέκτασης λειτουργικότητας μέσω σύνδεσης πρόσθετων και υλοποίησης βασικών υποσυστημάτων με τη μορφή αντικαταστάσιμων προσθηκών. Επί του παρόντος, αρκετές εκατοντάδες προσθήκες έχουν ήδη εφαρμοστεί για το Snort 3, που καλύπτουν διάφορους τομείς εφαρμογής, για παράδειγμα, επιτρέποντάς σας να προσθέσετε τους δικούς σας κωδικοποιητές, τρόπους ενδοσκόπησης, μεθόδους καταγραφής, ενέργειες και επιλογές στους κανόνες.
- Αυτόματος εντοπισμός των εκτελούμενων υπηρεσιών, εξαλείφοντας την ανάγκη χειροκίνητου καθορισμού ενεργών θυρών δικτύου.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Ο κώδικας παρέχει τη δυνατότητα χρήσης δομών C++ που ορίζονται στο πρότυπο C++14 (η κατασκευή απαιτεί έναν μεταγλωττιστή που υποστηρίζει C++14).
- Προστέθηκε νέος χειριστής VXLAN.
- Βελτιωμένη αναζήτηση για τύπους περιεχομένου ανά περιεχόμενο χρησιμοποιώντας ενημερωμένες εναλλακτικές εφαρμογές αλγορίθμων и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Η εκκίνηση επιταχύνεται χρησιμοποιώντας πολλαπλά νήματα για τη μεταγλώττιση ομάδων κανόνων.
- Προστέθηκε ένας νέος μηχανισμός καταγραφής.
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Πηγή: opennet.ru