Snort 3 ներխուժման հայտնաբերման համակարգի վերջնական բետա թողարկումը
Cisco ներկայացրել финальную бета-версию полностью переработанной системы предотвращения атак Խռմփոց 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Իրականացվել են հետևյալ նշանակալի նորամուծությունները.
Անցում է կատարվել նոր կազմաձևման համակարգին, որն առաջարկում է պարզեցված շարահյուսություն և թույլ է տալիս սկրիպտների օգտագործումը՝ դինամիկ կարգավորումներ ստեղծելու համար: LuaJIT-ն օգտագործվում է կազմաձևման ֆայլերը մշակելու համար: LuaJIT-ի վրա հիմնված պլագիններն ապահովված են կանոնների և գրանցման համակարգի լրացուցիչ տարբերակների ներդրմամբ.
Հարձակման հայտնաբերման շարժիչը արդիականացվել է, կանոնները թարմացվել են և ավելացվել է կանոններում բուֆերները (կպչուն բուֆերներ) կապելու հնարավորությունը։ Օգտագործվել է Hyperscan որոնման համակարգը, որը հնարավորություն է տվել օգտագործել կանոնների կանոնավոր արտահայտությունների հիման վրա արագ և ավելի ճշգրիտ գործարկվող օրինաչափություններ.
Ավելացվեց HTTP-ի ներքննության նոր ռեժիմ, որը հաշվի է առնում նստաշրջանի վիճակը և ընդգրկում է թեստային փաթեթի կողմից աջակցվող իրավիճակների 99%-ը HTTP Evader. В разработке находится код для поддержки HTTP/2;
Խորը փաթեթների ստուգման ռեժիմի կատարումը զգալիորեն բարելավվել է: Ավելացրել է բազմաթելային փաթեթների մշակման հնարավորություն՝ թույլ տալով մի քանի թելերի միաժամանակյա կատարում փաթեթային պրոցեսորներով և ապահովելով գծային մասշտաբայնություն՝ կախված պրոցեսորի միջուկների քանակից;
Կիրառվել է ընդհանուր կոնֆիգուրացիայի պահպանման և ատրիբուտների աղյուսակներ, որոնք համօգտագործվում են տարբեր ենթահամակարգերի միջև, ինչը զգալիորեն նվազեցրել է հիշողության սպառումը` վերացնելով տեղեկատվության կրկնօրինակումը.
Իրադարձությունների գրանցման նոր համակարգ՝ օգտագործելով JSON ձևաչափը և հեշտությամբ ինտեգրված արտաքին հարթակների հետ, ինչպիսիք են Elastic Stack-ը;
Անցում դեպի մոդուլային ճարտարապետություն, ֆունկցիոնալությունը ընդլայնելու հնարավորություն՝ միացնելու պլագինների և հիմնական ենթահամակարգերի ներդրման միջոցով՝ փոխարինելի փլագինների տեսքով: Ներկայումս Snort 3-ի համար արդեն ներդրվել են մի քանի հարյուր փլագիններ, որոնք ընդգրկում են կիրառման տարբեր ոլորտներ, օրինակ՝ թույլ տալով կանոններում ավելացնել ձեր սեփական կոդեկները, ներհայեցման ռեժիմները, գրանցման մեթոդները, գործողությունները և տարբերակները.
Գործող ծառայությունների ավտոմատ հայտնաբերում, վերացնելով ակտիվ ցանցի նավահանգիստները ձեռքով նշելու անհրաժեշտությունը:
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
Կոդը հնարավորություն է տալիս օգտագործելու C++ կոնստրուկտները, որոնք սահմանված են C++14 ստանդարտում (կառուցման համար պահանջվում է C++14 աջակցող կոմպիլյատոր);
Ավելացվեց նոր VXLAN կարգավորիչ;
Բովանդակության տեսակների բարելավված որոնում ըստ բովանդակության՝ օգտագործելով թարմացված այլընտրանքային ալգորիթմների իրականացում Բոյեր-Մուր и Հիպերսկան;
Практически доведена до полной готовности система инспектирования трафика HTTP/2;
Startup-ը արագացվում է՝ օգտագործելով բազմաթիվ թելեր՝ կանոնների խմբեր կազմելու համար.
Ավելացվել է անտառահատումների նոր մեխանիզմ;
Улучшено определение ошибок Lua и оптимизирована работа белых списков;
Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.