Cisco julkaisuehdokkaan kehittämisestä täysin uudelleen suunniteltuun hyökkäyksen estojärjestelmään , joka tunnetaan myös nimellä Snort++-projekti, joka on työskennellyt ajoittain vuodesta 2005 lähtien. Vakaa julkaisu on tarkoitus julkaista kuukauden sisällä.
Snort 3 -haarassa tuotekonsepti on mietitty kokonaan uudelleen ja arkkitehtuuri on suunniteltu uudelleen. Snort 3:n kehittämisen avainalueita ovat: Snortin käyttöönoton ja käytön yksinkertaistaminen, konfiguroinnin automatisointi, sääntöjen rakennuskielen yksinkertaistaminen, kaikkien protokollien automaattinen tunnistus, komentotulkin tarjoaminen komentoriviltä ohjattavaksi, aktiivinen käyttö monisäikeinen eri prosessorien yhteinen pääsy yhteen kokoonpanoon.
Seuraavat merkittävät innovaatiot on otettu käyttöön:
- On tehty siirtyminen uuteen konfigurointijärjestelmään, joka tarjoaa yksinkertaistetun syntaksin ja mahdollistaa komentosarjojen käytön asetusten dynaamiseen luomiseen. LuaJIT:iä käytetään asetustiedostojen käsittelyyn. LuaJIT-pohjaiset laajennukset on varustettu sääntöjen lisävaihtoehdoilla ja lokijärjestelmällä;
- Hyökkäysten havaitsemismoottori on modernisoitu, säännöt on päivitetty, kyky sitoa puskureita sääntöihin (sticky puskurit) on lisätty. Käytössä oli Hyperscan-hakukone, joka mahdollisti nopeiden ja tarkempien mallien käytön säännön säännöllisiin lausekkeisiin perustuen;
- Lisätty HTTP:lle uusi itsetutkiskelutila, joka on istunnon tilallinen ja kattaa 99 % testipaketin tukemista tilanteista . Lisätty HTTP/2-liikenteen valvontajärjestelmä;
- Deep Packet Inspection -tilan suorituskykyä on parannettu merkittävästi. Lisätty kyky monisäikeiseen pakettikäsittelyyn, mikä mahdollistaa useiden säikeiden samanaikaisen suorittamisen paketinkäsittelijöillä ja tarjoaa lineaarisen skaalautuvuuden CPU-ytimien lukumäärästä riippuen;
- Toteutettu yhteinen konfiguraatio- ja attribuuttitaulukoiden arkisto, joka on jaettu eri alijärjestelmien kesken, mikä on merkittävästi vähentänyt muistin kulutusta tiedon päällekkäisyyden poistamisen vuoksi;
- Uusi tapahtumalokijärjestelmä, joka käyttää JSON-muotoa ja integroitu helposti ulkoisiin alustoihin, kuten Elastic Stack;
- Siirtyminen modulaariseen arkkitehtuuriin, mahdollisuus laajentaa toimintoja liittämällä liitännäisiä ja toteuttaa keskeisiä alijärjestelmiä vaihdettavien laajennusten muodossa. Tällä hetkellä Snort 3:lle on jo toteutettu useita satoja laajennuksia, jotka kattavat eri sovellusalueet, esimerkiksi mahdollistavat omien koodekkien, itsetutkiskelutilojen, lokimenetelmien, toimintojen ja vaihtoehtojen lisäämisen sääntöihin;
- Käynnissä olevien palvelujen automaattinen tunnistus, jolloin ei tarvitse määrittää manuaalisesti aktiivisia verkkoportteja.
- Lisätty tuki tiedostoille, jotka ohittavat asetukset nopeasti oletuskokoonpanoon verrattuna. Määrityksen yksinkertaistamiseksi tiedostojen snort_config.lua ja SNORT_LUA_PATH käyttö on lopetettu.
Lisätty tuki asetusten uudelleenlataamiseen lennossa; - Koodi tarjoaa mahdollisuuden käyttää C++14-standardissa määriteltyjä C++-rakenteita (koonti vaatii kääntäjän, joka tukee C++14:ää);
- Lisätty uusi VXLAN-käsittelijä;
- Parannettu sisältötyyppien haku sisällön mukaan käyttämällä päivitettyjä vaihtoehtoisia algoritmien toteutuksia и ;
- Käynnistystä nopeutetaan useiden säikeiden käytön ansiosta sääntöryhmien kokoamiseen;
- Lisätty uusi kirjausmekanismi;
- Lisätty RNA (Real-time Network Awareness) -tarkastusjärjestelmä, joka kerää tietoa verkossa saatavilla olevista resursseista, isännistä, sovelluksista ja palveluista.
Lähde: opennet.ru