empresa cisco sobre el desarrollo de una versión candidata para un sistema de prevención de ataques completamente rediseñado , también conocido como proyecto Snort++, en el que se ha estado trabajando de forma intermitente desde 2005. Está previsto que la versión estable se publique dentro de un mes.
En la rama Snort 3, el concepto del producto se ha repensado por completo y se ha rediseñado la arquitectura. Entre las áreas clave de desarrollo de Snort 3: simplificación de la instalación y ejecución de Snort, automatización de la configuración, simplificación del lenguaje para construir reglas, detección automática de todos los protocolos, provisión de un shell para control desde la línea de comandos, uso activo de multithreading con acceso conjunto de diferentes procesadores a una única configuración.
Se han implementado las siguientes innovaciones significativas:
- Se ha realizado una transición a un nuevo sistema de configuración que ofrece una sintaxis simplificada y permite el uso de scripts para generar configuraciones dinámicamente. LuaJIT se utiliza para procesar archivos de configuración. Los complementos basados en LuaJIT cuentan con la implementación de opciones adicionales para reglas y un sistema de registro;
- Se modernizó el motor de detección de ataques, se actualizaron las reglas y se agregó la capacidad de vincular búferes en reglas (búferes adhesivos). Se utilizó el motor de búsqueda Hyperscan, que permitió utilizar patrones activados de forma rápida y precisa basados en expresiones regulares en las reglas;
- Se agregó un nuevo modo de introspección para HTTP que tiene en cuenta el estado de la sesión y cubre el 99% de las situaciones admitidas por el conjunto de pruebas. . Se agregó el sistema de inspección de tráfico HTTP/2;
- Se ha mejorado significativamente el rendimiento del modo de inspección profunda de paquetes. Se agregó la capacidad de procesamiento de paquetes multiproceso, lo que permite la ejecución simultánea de varios subprocesos con procesadores de paquetes y proporciona escalabilidad lineal dependiendo de la cantidad de núcleos de CPU;
- Se ha implementado una configuración común de almacenamiento y tablas de atributos, que se comparte entre diferentes subsistemas, lo que ha reducido significativamente el consumo de memoria al eliminar la duplicación de información;
- Nuevo sistema de registro de eventos que utiliza formato JSON y se integra fácilmente con plataformas externas como Elastic Stack;
- Transición a una arquitectura modular, la capacidad de ampliar la funcionalidad mediante la conexión de complementos y la implementación de subsistemas clave en forma de complementos reemplazables. Actualmente, ya se han implementado varios cientos de complementos para Snort 3, que cubren diversas áreas de aplicación, por ejemplo, permitiéndole agregar sus propios códecs, modos de introspección, métodos de registro, acciones y opciones en las reglas;
- Detección automática de servicios en ejecución, eliminando la necesidad de especificar manualmente los puertos de red activos.
- Se agregó soporte para archivos para anular rápidamente la configuración relativa a la configuración predeterminada. Para simplificar la configuración, se suspendió el uso de snort_config.lua y SNORT_LUA_PATH.
Se agregó soporte para recargar configuraciones sobre la marcha; - El código proporciona la capacidad de utilizar construcciones C++ definidas en el estándar C++ 14 (la compilación requiere un compilador que admita C++ 14);
- Se agregó un nuevo controlador VXLAN;
- Búsqueda mejorada de tipos de contenido por contenido utilizando implementaciones de algoritmos alternativos actualizados и ;
- El inicio se acelera mediante el uso de múltiples subprocesos para compilar grupos de reglas;
- Se agregó un nuevo mecanismo de registro;
- Se ha agregado un sistema de inspección RNA (Real-time Network Awareness), que recopila información sobre recursos, hosts, aplicaciones y servicios disponibles en la red.
Fuente: opennet.ru