Cisco viimeinen beta-versio täysin uudelleen suunnitellusta hyökkäyksen estojärjestelmästä , joka tunnetaan myös nimellä Snort++ -projekti, on ollut ajoittain käynnissä vuodesta 2005. Julkaisuehdokas on tarkoitus julkaista myöhemmin tänä vuonna.
Uudella toimialalla tuotteen konsepti on mietitty kokonaan uudelleen ja arkkitehtuuri on muotoiltu uudelleen. Uutta haaraa valmisteltaessa painotetuista alueista on Snortin määrityksen ja käytön yksinkertaistaminen, konfigurointiautomaatio, säännönrakennuskielen yksinkertaistaminen, kaikkien protokollien automaattinen tunnistus, komentotulkin tarjoaminen komentoriviltä ohjaukselle, aktiivinen käyttö monisäikeinen eri käsittelijöiden jaettu pääsy yhteen kokoonpanoon.
Seuraavat merkittävät innovaatiot on otettu käyttöön:
- On tehty siirtyminen uuteen konfigurointijärjestelmään, joka tarjoaa yksinkertaistetun syntaksin ja mahdollistaa komentosarjojen käytön asetusten dynaamiseen luomiseen. LuaJIT:iä käytetään asetustiedostojen käsittelyyn. LuaJIT-pohjaiset laajennukset on varustettu sääntöjen lisävaihtoehdoilla ja lokijärjestelmällä;
- Hyökkäysten havaitsemismoottori on modernisoitu, säännöt on päivitetty, kyky sitoa puskureita sääntöihin (sticky puskurit) on lisätty. Käytössä oli Hyperscan-hakukone, joka mahdollisti nopeiden ja tarkempien mallien käytön säännön säännöllisiin lausekkeisiin perustuen;
- Lisätty HTTP:lle uusi itsetutkiskelutila, joka on istunnon tilallinen ja kattaa 99 % testipaketin tukemista tilanteista . HTTP/2-tuen koodi on kehitteillä;
- Deep Packet Inspection -tilan suorituskykyä on parannettu merkittävästi. Lisätty kyky monisäikeiseen pakettikäsittelyyn, mikä mahdollistaa useiden säikeiden samanaikaisen suorittamisen paketinkäsittelijöillä ja tarjoaa lineaarisen skaalautuvuuden CPU-ytimien lukumäärästä riippuen;
- Toteutettu yhteinen konfiguraatio- ja attribuuttitaulukoiden arkisto, joka on jaettu eri alijärjestelmien kesken, mikä on merkittävästi vähentänyt muistin kulutusta tiedon päällekkäisyyden poistamisen vuoksi;
- Uusi tapahtumalokijärjestelmä, joka käyttää JSON-muotoa ja integroitu helposti ulkoisiin alustoihin, kuten Elastic Stack;
- Siirtyminen modulaariseen arkkitehtuuriin, mahdollisuus laajentaa toimintoja liittämällä liitännäisiä ja toteuttaa keskeisiä alijärjestelmiä vaihdettavien laajennusten muodossa. Tällä hetkellä Snort 3:lle on jo toteutettu useita satoja laajennuksia, jotka kattavat eri sovellusalueet, esimerkiksi mahdollistavat omien koodekkien, itsetutkiskelutilojen, lokimenetelmien, toimintojen ja vaihtoehtojen lisäämisen sääntöihin;
- Käynnissä olevien palvelujen automaattinen tunnistus, jolloin ei tarvitse määrittää manuaalisesti aktiivisia verkkoportteja.
Muutoksia edellisen vuonna 2018 julkaistun testijulkaisun jälkeen:
- Lisätty tuki tiedostoille, jotka ohittavat asetukset nopeasti oletuskokoonpanoon verrattuna;
- Koodi tarjoaa mahdollisuuden käyttää C++14-standardissa määriteltyjä C++-rakenteita (koonti vaatii kääntäjän, joka tukee C++14:ää);
- Lisätty uusi VXLAN-käsittelijä;
- Parannettu sisältötyyppien haku sisällön mukaan käyttämällä päivitettyjä vaihtoehtoisia algoritmien toteutuksia и ;
- HTTP/2-liikenteen tarkastusjärjestelmä on saatu käytännössä täyteen valmiiksi;
- Käynnistystä nopeutetaan useiden säikeiden käytön ansiosta sääntöryhmien kokoamiseen;
- Lisätty uusi kirjausmekanismi;
- Parannettu Lua-virheiden havaitseminen ja optimoitu sallittujen luettelo;
- Muutoksia on tehty uudelleenlatausasetusten toteuttamiseksi lennossa;
- Lisätty RNA (Real-time Network Awareness) -tarkastusjärjestelmä, joka kerää tietoa verkossa saatavilla olevista resursseista, isännistä, sovelluksista ja palveluista;
- Tiedostojen snort_config.lua ja SNORT_LUA_PATH käyttö on poistettu käytöstä määrityksen yksinkertaistamiseksi.
Lähde: opennet.ru