ProHoster > وبلاگ > اخبار اینترنتی > نسخه بتای نهایی سیستم تشخیص نفوذ Snort 3

نسخه بتای نهایی سیستم تشخیص نفوذ Snort 3

سیسکو ارایه شده نسخه بتای نهایی یک سیستم کاملاً بازطراحی شده پیشگیری از حمله خرخر 3پروژه Snort++ که با نام Snort++ نیز شناخته می شود، از سال 2005 به طور متناوب در حال انجام است. یک نامزد انتشار برنامه ریزی شده است که اواخر امسال منتشر شود.

در شعبه جدید مفهوم محصول به طور کامل بازنگری شده و معماری آن بازطراحی شده است. از جمله مواردی که هنگام تهیه یک شاخه جدید مورد تاکید قرار گرفت، ساده سازی پیکربندی و اجرای Snort، اتوماسیون پیکربندی، ساده سازی زبان قواعد سازی، تشخیص خودکار همه پروتکل ها، ارائه پوسته ای برای کنترل از خط فرمان، استفاده فعال است. چند رشته ای با دسترسی مشترک کنترل کننده های مختلف به پیکربندی واحد.

نوآوری های قابل توجه زیر اجرا شده است:

  • انتقالی به یک سیستم پیکربندی جدید انجام شده است که یک نحو ساده شده را ارائه می دهد و امکان استفاده از اسکریپت ها را برای ایجاد پویا تنظیمات فراهم می کند. LuaJIT برای پردازش فایل های پیکربندی استفاده می شود. پلاگین های مبتنی بر LuaJIT با اجرای گزینه های اضافی برای قوانین و سیستم ورود به سیستم ارائه می شوند.
  • موتور تشخیص حملات مدرن شده است، قوانین به روز شده است، قابلیت اتصال بافرها در قوانین (بافرهای چسبنده) اضافه شده است. از موتور جستجوی Hyperscan استفاده شد که امکان استفاده از الگوهای سریع و دقیق‌تر بر اساس عبارات منظم در قوانین را فراهم کرد.
  • یک حالت درون نگری جدید برای HTTP اضافه شده است که حالت جلسه است و 99٪ از موقعیت های پشتیبانی شده توسط مجموعه آزمایشی را پوشش می دهد. HTTP Evader. کد برای پشتیبانی HTTP/2 در دست توسعه است.
  • عملکرد حالت Deep Packet Inspection به طور قابل توجهی بهبود یافته است. قابلیت پردازش بسته‌های چند رشته‌ای را اضافه کرد که امکان اجرای همزمان چندین رشته با کنترل‌کننده‌های بسته و ارائه مقیاس‌پذیری خطی بسته به تعداد هسته‌های CPU را فراهم کرد.
  • یک مخزن مشترک از جداول پیکربندی و ویژگی‌ها را پیاده‌سازی کرد که بین زیرسیستم‌های مختلف به اشتراک گذاشته شده است که به دلیل حذف تکراری اطلاعات، مصرف حافظه را به میزان قابل توجهی کاهش داده است.
  • سیستم ثبت رویداد جدید با استفاده از فرمت JSON و به راحتی با پلتفرم های خارجی مانند Elastic Stack ادغام می شود.
  • انتقال به یک معماری مدولار، توانایی گسترش عملکرد از طریق اتصال پلاگین ها و اجرای زیرسیستم های کلیدی در قالب پلاگین های قابل تعویض. در حال حاضر صدها پلاگین برای Snort 3 پیاده‌سازی شده‌اند که حوزه‌های مختلف کاربرد را پوشش می‌دهند، به عنوان مثال، به شما امکان می‌دهند کدک‌ها، حالت‌های درون‌نگری، روش‌های ثبت، اقدامات و گزینه‌های خود را در قوانین اضافه کنید.
  • تشخیص خودکار خدمات در حال اجرا، حذف نیاز به تعیین دستی پورت های شبکه فعال.

تغییرات از آخرین نسخه آزمایشی که در سال 2018 منتشر شد:

  • اضافه شدن پشتیبانی از فایل‌ها برای لغو سریع تنظیمات نسبت به پیکربندی پیش‌فرض.
  • این کد توانایی استفاده از ساختارهای C++ تعریف شده در استاندارد C++14 را فراهم می‌کند (بیلد نیاز به کامپایلری دارد که از C++14 پشتیبانی می‌کند).
  • اضافه شدن کنترلر VXLAN جدید.
  • جستجوی بهبود یافته برای انواع محتوا بر اساس محتوا با استفاده از پیاده سازی جایگزین به روز شده الگوریتم ها بویر مور и هایپراسکن;
  • سیستم بازرسی ترافیک HTTP/2 عملاً به آمادگی کامل رسیده است.
  • راه اندازی به دلیل استفاده از چندین رشته برای کامپایل گروهی از قوانین تسریع می شود.
  • یک مکانیسم جدید ورود به سیستم اضافه شد.
  • بهبود تشخیص خطا Lua و بهینه سازی لیست سفید.
  • تغییراتی برای اجرای تنظیمات بارگذاری مجدد در پرواز ایجاد شده است.
  • سیستم بازرسی RNA (Real-time Network Awareness) را اضافه کرد که اطلاعات مربوط به منابع، میزبان ها، برنامه ها و خدمات موجود در شبکه را جمع آوری می کند.
  • استفاده از snort_config.lua و SNORT_LUA_PATH برای ساده کردن پیکربندی منسوخ شده است.

منبع: opennet.ru

اضافه کردن نظر