A Snort 3 behatolásérzékelő rendszer utolsó béta verziója
Cisco cég bemutatott финальную бета-версию полностью переработанной системы предотвращения атак Horkolás 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
A következő jelentős újítások valósultak meg:
Átállás történt egy új konfigurációs rendszerre, amely egyszerűsített szintaxist kínál, és lehetővé teszi a parancsfájlok használatát a beállítások dinamikus létrehozásához. A LuaJIT a konfigurációs fájlok feldolgozására szolgál. A LuaJIT-en alapuló beépülő modulok további szabályokat és naplózási rendszert tartalmaznak;
A támadásészlelő motort korszerűsítették, frissítették a szabályokat, és hozzáadták a pufferek szabályba kötésének lehetőségét (ragadó pufferek). A Hyperscan keresőt használtuk, amely lehetővé tette a szabályokban szereplő reguláris kifejezések alapján gyors és pontosabban kiváltott minták használatát;
Új betekintési mód hozzáadva a HTTP-hez, amely figyelembe veszi a munkamenet állapotát, és lefedi a tesztcsomag által támogatott helyzetek 99%-át HTTP Evader. В разработке находится код для поддержки HTTP/2;
A mély csomagellenőrzési mód teljesítménye jelentősen javult. Hozzáadták a többszálú csomagfeldolgozás lehetőségét, lehetővé téve több szál egyidejű végrehajtását csomagfeldolgozókkal, és lineáris skálázhatóságot biztosítva a CPU magok számától függően;
Egy közös konfigurációs tároló és attribútum táblák kerültek megvalósításra, amely meg van osztva a különböző alrendszerek között, ami jelentősen csökkentette a memóriafelhasználást az információk megkettőzésének kiküszöbölésével;
Új eseménynaplózó rendszer, amely JSON formátumot használ, és könnyen integrálható olyan külső platformokkal, mint az Elastic Stack;
Átállás a moduláris architektúrára, a funkcionalitás bővítésének lehetősége pluginek csatlakoztatásával és a kulcsfontosságú alrendszerek cserélhető bővítmények formájában való megvalósításával. Jelenleg több száz bővítményt implementáltak már a Snort 3-hoz, amelyek különböző alkalmazási területeket fednek le, például lehetővé teszik saját kodekek, introspekciós módok, naplózási módszerek, műveletek és opciók hozzáadását a szabályokhoz;
A futó szolgáltatások automatikus észlelése, így nincs szükség az aktív hálózati portok manuális megadására.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
A kód lehetőséget biztosít a C++14 szabványban meghatározott C++ konstrukciók használatára (az összeállításhoz olyan fordító szükséges, amely támogatja a C++14-et);
Új VXLAN-kezelő hozzáadva;
Továbbfejlesztett tartalomtípusok tartalom szerinti keresése frissített alternatív algoritmus-megvalósítások segítségével Boyer-Moore и Hyperscan;
Практически доведена до полной готовности система инспектирования трафика HTTP/2;
Az indítást felgyorsítja több szál használata a szabálycsoportok összeállításához;
Új naplózási mechanizmus hozzáadva;
Улучшено определение ошибок Lua и оптимизирована работа белых списков;
Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.