Cisco Company σχετικά με την ανάπτυξη μιας υποψήφιας έκδοσης για ένα πλήρως επανασχεδιασμένο σύστημα πρόληψης επιθέσεων , γνωστό και ως έργο Snort++, το οποίο εργάζεται κατά διαστήματα από το 2005. Η σταθερή έκδοση προγραμματίζεται να δημοσιευτεί εντός ενός μήνα.
Στον κλάδο Snort 3, η ιδέα του προϊόντος έχει αναθεωρηθεί πλήρως και η αρχιτεκτονική έχει επανασχεδιαστεί. Μεταξύ των βασικών τομέων ανάπτυξης του Snort 3: απλοποίηση της ρύθμισης και λειτουργίας του Snort, αυτοματοποίηση της διαμόρφωσης, απλοποίηση της γλώσσας για την κατασκευή κανόνων, αυτόματη ανίχνευση όλων των πρωτοκόλλων, παροχή ενός κελύφους για έλεγχο από τη γραμμή εντολών, ενεργή χρήση του multithreading με κοινή πρόσβαση διαφορετικών επεξεργαστών σε μια ενιαία διαμόρφωση.
Έχουν εφαρμοστεί οι ακόλουθες σημαντικές καινοτομίες:
- Έγινε μια μετάβαση σε ένα νέο σύστημα διαμόρφωσης που προσφέρει μια απλοποιημένη σύνταξη και επιτρέπει τη χρήση σεναρίων για τη δυναμική δημιουργία ρυθμίσεων. Το LuaJIT χρησιμοποιείται για την επεξεργασία αρχείων διαμόρφωσης. Τα πρόσθετα που βασίζονται στο LuaJIT παρέχονται με την εφαρμογή πρόσθετων επιλογών για κανόνες και ένα σύστημα καταγραφής.
- Η μηχανή ανίχνευσης επίθεσης εκσυγχρονίστηκε, οι κανόνες ενημερώθηκαν και προστέθηκε η δυνατότητα δέσμευσης buffer σε κανόνες (sticky buffers). Χρησιμοποιήθηκε η μηχανή αναζήτησης Hyperscan, η οποία κατέστησε δυνατή τη χρήση γρήγορων και ακριβέστερων ενεργοποιημένων μοτίβων με βάση κανονικές εκφράσεις στους κανόνες.
- Προστέθηκε μια νέα λειτουργία ενδοσκόπησης για το HTTP που λαμβάνει υπόψη την κατάσταση συνεδρίας και καλύπτει το 99% των καταστάσεων που υποστηρίζονται από τη δοκιμαστική σουίτα . Προστέθηκε σύστημα επιθεώρησης κυκλοφορίας HTTP/2.
- Η απόδοση της λειτουργίας επιθεώρησης σε βάθος πακέτων έχει βελτιωθεί σημαντικά. Προστέθηκε η δυνατότητα επεξεργασίας πακέτων πολλαπλών νημάτων, επιτρέποντας την ταυτόχρονη εκτέλεση πολλών νημάτων με επεξεργαστές πακέτων και παρέχοντας γραμμική επεκτασιμότητα ανάλογα με τον αριθμό των πυρήνων της CPU.
- Έχουν εφαρμοστεί ένας κοινός πίνακας αποθήκευσης ρυθμίσεων και χαρακτηριστικών, ο οποίος μοιράζεται μεταξύ διαφορετικών υποσυστημάτων, γεγονός που έχει μειώσει σημαντικά την κατανάλωση μνήμης εξαλείφοντας την επικάλυψη πληροφοριών.
- Νέο σύστημα καταγραφής συμβάντων που χρησιμοποιεί μορφή JSON και ενσωματώνεται εύκολα με εξωτερικές πλατφόρμες όπως το Elastic Stack.
- Μετάβαση σε μια αρθρωτή αρχιτεκτονική, δυνατότητα επέκτασης λειτουργικότητας μέσω σύνδεσης πρόσθετων και υλοποίησης βασικών υποσυστημάτων με τη μορφή αντικαταστάσιμων προσθηκών. Επί του παρόντος, αρκετές εκατοντάδες προσθήκες έχουν ήδη εφαρμοστεί για το Snort 3, που καλύπτουν διάφορους τομείς εφαρμογής, για παράδειγμα, επιτρέποντάς σας να προσθέσετε τους δικούς σας κωδικοποιητές, τρόπους ενδοσκόπησης, μεθόδους καταγραφής, ενέργειες και επιλογές στους κανόνες.
- Αυτόματος εντοπισμός των εκτελούμενων υπηρεσιών, εξαλείφοντας την ανάγκη χειροκίνητου καθορισμού ενεργών θυρών δικτύου.
- Προστέθηκε υποστήριξη για αρχεία για γρήγορη παράκαμψη ρυθμίσεων σε σχέση με την προεπιλεγμένη διαμόρφωση. Για να απλοποιηθεί η διαμόρφωση, η χρήση των snort_config.lua και SNORT_LUA_PATH έχει διακοπεί.
Προστέθηκε υποστήριξη για επαναφόρτωση ρυθμίσεων εν κινήσει. - Ο κώδικας παρέχει τη δυνατότητα χρήσης δομών C++ που ορίζονται στο πρότυπο C++14 (η κατασκευή απαιτεί έναν μεταγλωττιστή που υποστηρίζει C++14).
- Προστέθηκε νέος χειριστής VXLAN.
- Βελτιωμένη αναζήτηση για τύπους περιεχομένου ανά περιεχόμενο χρησιμοποιώντας ενημερωμένες εναλλακτικές εφαρμογές αλγορίθμων и ;
- Η εκκίνηση επιταχύνεται χρησιμοποιώντας πολλαπλά νήματα για τη μεταγλώττιση ομάδων κανόνων.
- Προστέθηκε ένας νέος μηχανισμός καταγραφής.
- Προστέθηκε ένα σύστημα επιθεώρησης RNA (Real-time Network Awareness), το οποίο συλλέγει πληροφορίες σχετικά με πόρους, κεντρικούς υπολογιστές, εφαρμογές και υπηρεσίες που είναι διαθέσιμες στο δίκτυο.
Πηγή: opennet.ru