ProHoster > Blog > noticias de internet > Lanzamiento beta final del sistema de detección de intrusos Snort 3

Lanzamiento beta final del sistema de detección de intrusos Snort 3

empresa cisco presentado Versión beta final de un sistema de prevención de ataques completamente rediseñado. Resoplido 3, también conocido como proyecto Snort++, en el que se ha estado trabajando de forma intermitente desde 2005. Está previsto publicar un candidato de lanzamiento a finales de este año.

En la nueva sucursal, el concepto de producto se replantea por completo y se rediseña la arquitectura. Entre las áreas que se enfatizaron al preparar una nueva rama, se encuentran la simplificación de la configuración y el lanzamiento de Snort, la automatización de la configuración, la simplificación del lenguaje para construir reglas, la detección automática de todos los protocolos, la provisión de un shell para el control desde el comando. línea, uso activo de subprocesos múltiples con acceso compartido de diferentes procesadores a una configuración única.

Se han implementado las siguientes innovaciones significativas:

  • Se ha realizado una transición a un nuevo sistema de configuración que ofrece una sintaxis simplificada y permite el uso de scripts para generar configuraciones dinámicamente. LuaJIT se utiliza para procesar archivos de configuración. Los complementos basados ​​​​en LuaJIT cuentan con la implementación de opciones adicionales para reglas y un sistema de registro;
  • Se modernizó el motor de detección de ataques, se actualizaron las reglas y se agregó la capacidad de vincular búferes en reglas (búferes adhesivos). Se utilizó el motor de búsqueda Hyperscan, que permitió utilizar patrones activados de forma rápida y precisa basados ​​en expresiones regulares en las reglas;
  • Se agregó un nuevo modo de introspección para HTTP que tiene en cuenta el estado de la sesión y cubre el 99% de las situaciones admitidas por el conjunto de pruebas. Evasor de HTTP. El código para admitir HTTP/2 está en desarrollo;
  • Se ha mejorado significativamente el rendimiento del modo de inspección profunda de paquetes. Se agregó la capacidad de procesamiento de paquetes multiproceso, lo que permite la ejecución simultánea de varios subprocesos con procesadores de paquetes y proporciona escalabilidad lineal dependiendo de la cantidad de núcleos de CPU;
  • Se ha implementado una configuración común de almacenamiento y tablas de atributos, que se comparte entre diferentes subsistemas, lo que ha reducido significativamente el consumo de memoria al eliminar la duplicación de información;
  • Nuevo sistema de registro de eventos que utiliza formato JSON y se integra fácilmente con plataformas externas como Elastic Stack;
  • Transición a una arquitectura modular, la capacidad de ampliar la funcionalidad mediante la conexión de complementos y la implementación de subsistemas clave en forma de complementos reemplazables. Actualmente, ya se han implementado varios cientos de complementos para Snort 3, que cubren diversas áreas de aplicación, por ejemplo, permitiéndole agregar sus propios códecs, modos de introspección, métodos de registro, acciones y opciones en las reglas;
  • Detección automática de servicios en ejecución, eliminando la necesidad de especificar manualmente los puertos de red activos.

Cambios en comparación con la última versión de prueba, que se publicó en 2018:

  • Se agregó soporte para archivos para anular rápidamente las configuraciones relativas a la configuración predeterminada;
  • El código proporciona la capacidad de utilizar construcciones C++ definidas en el estándar C++ 14 (la compilación requiere un compilador que admita C++ 14);
  • Se agregó un nuevo controlador VXLAN;
  • Búsqueda mejorada de tipos de contenido por contenido utilizando implementaciones de algoritmos alternativos actualizados boyer-moore и hiperescaneo;
  • El sistema de inspección de tráfico HTTP/2 casi está completamente listo;
  • El inicio se acelera mediante el uso de múltiples subprocesos para compilar grupos de reglas;
  • Se agregó un nuevo mecanismo de registro;
  • Detección mejorada de errores de Lua y listas blancas optimizadas;
  • Se han realizado cambios para permitir la recarga de configuraciones sobre la marcha;
  • Se ha agregado un sistema de inspección RNA (Real-time Network Awareness), que recopila información sobre recursos, hosts, aplicaciones y servicios disponibles en la red;
  • Para simplificar la configuración, se suspendió el uso de snort_config.lua y SNORT_LUA_PATH.

Fuente: opennet.ru

Añadir un comentario