Cisco cég финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
A következő jelentős újítások valósultak meg:
- Átállás történt egy új konfigurációs rendszerre, amely egyszerűsített szintaxist kínál, és lehetővé teszi a parancsfájlok használatát a beállítások dinamikus létrehozásához. A LuaJIT a konfigurációs fájlok feldolgozására szolgál. A LuaJIT-en alapuló beépülő modulok további szabályokat és naplózási rendszert tartalmaznak;
- A támadásészlelő motort korszerűsítették, frissítették a szabályokat, és hozzáadták a pufferek szabályba kötésének lehetőségét (ragadó pufferek). A Hyperscan keresőt használtuk, amely lehetővé tette a szabályokban szereplő reguláris kifejezések alapján gyors és pontosabban kiváltott minták használatát;
- Új betekintési mód hozzáadva a HTTP-hez, amely figyelembe veszi a munkamenet állapotát, és lefedi a tesztcsomag által támogatott helyzetek 99%-át . В разработке находится код для поддержки HTTP/2;
- A mély csomagellenőrzési mód teljesítménye jelentősen javult. Hozzáadták a többszálú csomagfeldolgozás lehetőségét, lehetővé téve több szál egyidejű végrehajtását csomagfeldolgozókkal, és lineáris skálázhatóságot biztosítva a CPU magok számától függően;
- Egy közös konfigurációs tároló és attribútum táblák kerültek megvalósításra, amely meg van osztva a különböző alrendszerek között, ami jelentősen csökkentette a memóriafelhasználást az információk megkettőzésének kiküszöbölésével;
- Új eseménynaplózó rendszer, amely JSON formátumot használ, és könnyen integrálható olyan külső platformokkal, mint az Elastic Stack;
- Átállás a moduláris architektúrára, a funkcionalitás bővítésének lehetősége pluginek csatlakoztatásával és a kulcsfontosságú alrendszerek cserélhető bővítmények formájában való megvalósításával. Jelenleg több száz bővítményt implementáltak már a Snort 3-hoz, amelyek különböző alkalmazási területeket fednek le, például lehetővé teszik saját kodekek, introspekciós módok, naplózási módszerek, műveletek és opciók hozzáadását a szabályokhoz;
- A futó szolgáltatások automatikus észlelése, így nincs szükség az aktív hálózati portok manuális megadására.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- A kód lehetőséget biztosít a C++14 szabványban meghatározott C++ konstrukciók használatára (az összeállításhoz olyan fordító szükséges, amely támogatja a C++14-et);
- Új VXLAN-kezelő hozzáadva;
- Továbbfejlesztett tartalomtípusok tartalom szerinti keresése frissített alternatív algoritmus-megvalósítások segítségével и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Az indítást felgyorsítja több szál használata a szabálycsoportok összeállításához;
- Új naplózási mechanizmus hozzáadva;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Forrás: opennet.ru