Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Իրականացվել են հետևյալ նշանակալի նորամուծությունները.
- Անցում է կատարվել նոր կազմաձևման համակարգին, որն առաջարկում է պարզեցված շարահյուսություն և թույլ է տալիս սկրիպտների օգտագործումը՝ դինամիկ կարգավորումներ ստեղծելու համար: LuaJIT-ն օգտագործվում է կազմաձևման ֆայլերը մշակելու համար: LuaJIT-ի վրա հիմնված պլագիններն ապահովված են կանոնների և գրանցման համակարգի լրացուցիչ տարբերակների ներդրմամբ.
- Հարձակման հայտնաբերման շարժիչը արդիականացվել է, կանոնները թարմացվել են և ավելացվել է կանոններում բուֆերները (կպչուն բուֆերներ) կապելու հնարավորությունը։ Օգտագործվել է Hyperscan որոնման համակարգը, որը հնարավորություն է տվել օգտագործել կանոնների կանոնավոր արտահայտությունների հիման վրա արագ և ավելի ճշգրիտ գործարկվող օրինաչափություններ.
- Ավելացվեց HTTP-ի ներքննության նոր ռեժիմ, որը հաշվի է առնում նստաշրջանի վիճակը և ընդգրկում է թեստային փաթեթի կողմից աջակցվող իրավիճակների 99%-ը . В разработке находится код для поддержки HTTP/2;
- Խորը փաթեթների ստուգման ռեժիմի կատարումը զգալիորեն բարելավվել է: Ավելացրել է բազմաթելային փաթեթների մշակման հնարավորություն՝ թույլ տալով մի քանի թելերի միաժամանակյա կատարում փաթեթային պրոցեսորներով և ապահովելով գծային մասշտաբայնություն՝ կախված պրոցեսորի միջուկների քանակից;
- Կիրառվել է ընդհանուր կոնֆիգուրացիայի պահպանման և ատրիբուտների աղյուսակներ, որոնք համօգտագործվում են տարբեր ենթահամակարգերի միջև, ինչը զգալիորեն նվազեցրել է հիշողության սպառումը` վերացնելով տեղեկատվության կրկնօրինակումը.
- Իրադարձությունների գրանցման նոր համակարգ՝ օգտագործելով JSON ձևաչափը և հեշտությամբ ինտեգրված արտաքին հարթակների հետ, ինչպիսիք են Elastic Stack-ը;
- Անցում դեպի մոդուլային ճարտարապետություն, ֆունկցիոնալությունը ընդլայնելու հնարավորություն՝ միացնելու պլագինների և հիմնական ենթահամակարգերի ներդրման միջոցով՝ փոխարինելի փլագինների տեսքով: Ներկայումս Snort 3-ի համար արդեն ներդրվել են մի քանի հարյուր փլագիններ, որոնք ընդգրկում են կիրառման տարբեր ոլորտներ, օրինակ՝ թույլ տալով կանոններում ավելացնել ձեր սեփական կոդեկները, ներհայեցման ռեժիմները, գրանցման մեթոդները, գործողությունները և տարբերակները.
- Գործող ծառայությունների ավտոմատ հայտնաբերում, վերացնելով ակտիվ ցանցի նավահանգիստները ձեռքով նշելու անհրաժեշտությունը:
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Կոդը հնարավորություն է տալիս օգտագործելու C++ կոնստրուկտները, որոնք սահմանված են C++14 ստանդարտում (կառուցման համար պահանջվում է C++14 աջակցող կոմպիլյատոր);
- Ավելացվեց նոր VXLAN կարգավորիչ;
- Բովանդակության տեսակների բարելավված որոնում ըստ բովանդակության՝ օգտագործելով թարմացված այլընտրանքային ալգորիթմների իրականացում и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Startup-ը արագացվում է՝ օգտագործելով բազմաթիվ թելեր՝ կանոնների խմբեր կազմելու համար.
- Ավելացվել է անտառահատումների նոր մեխանիզմ;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Source: opennet.ru