Société Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Les innovations significatives suivantes ont été mises en œuvre :
- Une transition a été effectuée vers un nouveau système de configuration qui offre une syntaxe simplifiée et permet l'utilisation de scripts pour générer dynamiquement des paramètres. LuaJIT est utilisé pour traiter les fichiers de configuration. Les plugins basés sur LuaJIT sont fournis avec la mise en œuvre d'options supplémentaires pour les règles et un système de journalisation ;
- Le moteur de détection d'attaques a été modernisé, les règles ont été mises à jour et la possibilité de lier des tampons dans les règles (sticky buffers) a été ajoutée. Le moteur de recherche Hyperscan a été utilisé, ce qui a permis d'utiliser des modèles déclenchés plus rapidement et plus précisément basés sur des expressions régulières dans les règles ;
- Ajout d'un nouveau mode d'introspection pour HTTP qui prend en compte l'état de la session et couvre 99% des situations supportées par la suite de tests . В разработке находится код для поддержки HTTP/2;
- Les performances du mode d’inspection approfondie des paquets ont été considérablement améliorées. Ajout de la possibilité de traitement de paquets multithread, permettant l'exécution simultanée de plusieurs threads avec des processeurs de paquets et offrant une évolutivité linéaire en fonction du nombre de cœurs de processeur ;
- Un stockage de configuration commun et des tables d'attributs ont été implémentés, partagés entre différents sous-systèmes, ce qui a considérablement réduit la consommation de mémoire en éliminant la duplication des informations ;
- Nouveau système de journalisation des événements utilisant le format JSON et facilement intégrable aux plateformes externes telles qu'Elastic Stack ;
- Transition vers une architecture modulaire, possibilité d'étendre les fonctionnalités grâce à la connexion de plugins et à la mise en œuvre de sous-systèmes clés sous la forme de plugins remplaçables. Actuellement, plusieurs centaines de plugins ont déjà été implémentés pour Snort 3, couvrant divers domaines d'application, permettant par exemple d'ajouter vos propres codecs, modes d'introspection, méthodes de journalisation, actions et options dans les règles ;
- Détection automatique des services en cours d'exécution, éliminant le besoin de spécifier manuellement les ports réseau actifs.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Le code offre la possibilité d'utiliser des constructions C++ définies dans la norme C++14 (la construction nécessite un compilateur prenant en charge C++14) ;
- Ajout d'un nouveau gestionnaire VXLAN ;
- Recherche améliorée de types de contenu par contenu à l'aide d'implémentations d'algorithmes alternatifs mis à jour и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Le démarrage est accéléré en utilisant plusieurs threads pour compiler des groupes de règles ;
- Ajout d'un nouveau mécanisme de journalisation ;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Source: opennet.ru