Compañía Cisco о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Realizáronse as seguintes innovacións significativas:
- Fíxose unha transición a un novo sistema de configuración que ofrece unha sintaxe simplificada e permite o uso de scripts para xerar axustes de forma dinámica. LuaJIT úsase para procesar ficheiros de configuración. Os complementos baseados en LuaJIT son proporcionados coa implementación de opcións adicionais para as regras e un sistema de rexistro;
- Modernizouse o motor de detección de ataques, actualizáronse as regras e engadiuse a capacidade de vincular búfers en regras (búfers adhesivos). Utilizouse o buscador Hyperscan, que permitiu empregar patróns desencadeados rápidos e con máis precisión baseados en expresións regulares nas regras;
- Engadiuse un novo modo de introspección para HTTP que ten en conta o estado da sesión e abarca o 99 % das situacións admitidas pola suite de probas . Добавлена система инспектирования трафика HTTP/2;
- Mellorouse significativamente o rendemento do modo de inspección profunda de paquetes. Engadida a capacidade de procesamento de paquetes multi-fíos, permitindo a execución simultánea de varios fíos con procesadores de paquetes e proporcionando escalabilidade lineal dependendo do número de núcleos de CPU;
- Implementouse un almacenamento común de táboas de configuración e atributos, que se comparte entre distintos subsistemas, o que permitiu reducir significativamente o consumo de memoria ao eliminar a duplicación de información;
- Novo sistema de rexistro de eventos usando formato JSON e facilmente integrado con plataformas externas como Elastic Stack;
- Transición a unha arquitectura modular, a capacidade de ampliar a funcionalidade mediante a conexión de complementos e a implementación de subsistemas clave en forma de complementos substituíbles. Actualmente, xa se implementaron varios centos de complementos para Snort 3, que abarcan varias áreas de aplicación, por exemplo, que lle permiten engadir os seus propios códecs, modos de introspección, métodos de rexistro, accións e opcións nas regras;
- Detección automática dos servizos en execución, eliminando a necesidade de especificar manualmente os portos de rede activos.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - O código ofrece a posibilidade de usar construcións C++ definidas no estándar C++14 (a compilación require un compilador que admita C++14);
- Engadiuse un novo controlador VXLAN;
- Busca mellorada de tipos de contido por contido mediante implementacións de algoritmos alternativos actualizadas и ;
- O inicio é acelerado usando varios fíos para compilar grupos de regras;
- Engadiuse un novo mecanismo de rexistro;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Fonte: opennet.ru