Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
De folgjende wichtige ynnovaasjes binne ymplementearre:
- In oergong nei in nij konfiguraasjesysteem is makke, dy't in ferienfâldige syntaksis biedt en it brûken fan skripts mooglik makket om ynstellings dynamysk te generearjen. LuaJIT wurdt brûkt om konfiguraasjebestannen te ferwurkjen. LuaJIT-basearre plugins wurde foarsjoen fan de ymplemintaasje fan ekstra opsjes foar regels en in logging systeem;
- De motor foar it opspoaren fan oanfallen is modernisearre, de regels binne bywurke, de mooglikheid om buffers te binen yn regels (kleverige buffers) is tafoege. De Hyperscan sykmasine waard brûkt, dy't it mooglik makke om flugge en krekter sjabloanen te brûken basearre op reguliere útdrukkingen yn 'e regels;
- In nije yntrospeksje modus tafoege foar HTTP dy't sesje stateful is en beslacht 99% fan 'e situaasjes stipe troch de testsuite . В разработке находится код для поддержки HTTP/2;
- De prestaasjes fan Deep Packet Inspection-modus binne signifikant ferbettere. Tafoege de mooglikheid om multithread pakket ferwurkjen, wêrtroch simultane útfiering fan ferskate triedden mei pakket handlers en it jaan fan lineêre scalability ôfhinklik fan it oantal CPU kearnen;
- Implementearre in mienskiplik repository fan konfiguraasje en attribút tabellen, dat wurdt dield tusken ferskate subsystemen, dat hat gâns fermindere ûnthâld konsumpsje fanwege it elimineren fan duplikaasje fan ynformaasje;
- Nije evenemint logging systeem mei help fan JSON formaat en maklik yntegrearre mei eksterne platfoarms lykas Elastic Stack;
- De oergong nei in modulêre arsjitektuer, de mooglikheid om funksjonaliteit út te wreidzjen troch de ferbining fan plug-ins en de ymplemintaasje fan wichtige subsystemen yn 'e foarm fan ferfangbere plug-ins. Op it stuit binne ferskate hûnderten plugins al ymplementearre foar Snort 3, dy't ferskate gebieten fan tapassing dekke, bygelyks, wêrtroch jo jo eigen codecs, yntrospeksjemodi, loggingmetoaden, aksjes en opsjes yn regels kinne tafoegje;
- Automatyske deteksje fan rinnende tsjinsten, elimineert de needsaak om manuell oantsjutte aktive netwurk havens.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- De koade jout de mooglikheid om te brûken C ++ konstruksjes definiearre yn de C ++ 14 standert (build fereasket in gearstaller dy't stipet C ++ 14);
- Nije VXLAN-handler tafoege;
- Ferbettere sykjen foar ynhâldstypen troch ynhâld mei bywurke alternative ymplemintaasjes fan algoritmen и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- It opstarten wurdt fersneld troch it brûken fan ferskate triedden foar it kompilearjen fan groepen regels;
- In nij logmeganisme tafoege;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Boarne: opennet.ru