Ազատ արձակեք Snort 3 հարձակումների հայտնաբերման համակարգի թեկնածուին
Cisco հայտարարվեց գրոհների կանխարգելման ամբողջովին վերամշակված համակարգի ազատման թեկնածուի մշակման վերաբերյալ Խռմփոց 3, որը նաև հայտնի է որպես Snort++ նախագիծ, որի վրա ընդհատումներով աշխատում է 2005 թվականից։ Կայուն թողարկումը նախատեսվում է հրապարակել մեկ ամսվա ընթացքում։
Snort 3 մասնաճյուղում արտադրանքի հայեցակարգն ամբողջությամբ վերանայվել է և ճարտարապետությունը վերանախագծվել է: Snort 3-ի զարգացման առանցքային ոլորտներից են՝ Snort-ի տեղադրման և գործարկման պարզեցում, կոնֆիգուրացիայի ավտոմատացում, կանոնների կառուցման լեզվի պարզեցում, բոլոր արձանագրությունների ավտոմատ հայտնաբերում, հրամանի տողից կառավարելու համար պատյանների ապահովում, ակտիվ օգտագործում: բազմաշերտ՝ տարբեր պրոցեսորների համատեղ մուտքով մեկ կոնֆիգուրացիա:
Իրականացվել են հետևյալ նշանակալի նորամուծությունները.
Անցում է կատարվել նոր կազմաձևման համակարգին, որն առաջարկում է պարզեցված շարահյուսություն և թույլ է տալիս սկրիպտների օգտագործումը՝ դինամիկ կարգավորումներ ստեղծելու համար: LuaJIT-ն օգտագործվում է կազմաձևման ֆայլերը մշակելու համար: LuaJIT-ի վրա հիմնված պլագիններն ապահովված են կանոնների և գրանցման համակարգի լրացուցիչ տարբերակների ներդրմամբ.
Հարձակման հայտնաբերման շարժիչը արդիականացվել է, կանոնները թարմացվել են և ավելացվել է կանոններում բուֆերները (կպչուն բուֆերներ) կապելու հնարավորությունը։ Օգտագործվել է Hyperscan որոնման համակարգը, որը հնարավորություն է տվել օգտագործել կանոնների կանոնավոր արտահայտությունների հիման վրա արագ և ավելի ճշգրիտ գործարկվող օրինաչափություններ.
Ավելացվեց HTTP-ի ներքննության նոր ռեժիմ, որը հաշվի է առնում նստաշրջանի վիճակը և ընդգրկում է թեստային փաթեթի կողմից աջակցվող իրավիճակների 99%-ը HTTP Evader. Ավելացվել է HTTP/2 երթևեկության ստուգման համակարգ;
Խորը փաթեթների ստուգման ռեժիմի կատարումը զգալիորեն բարելավվել է: Ավելացրել է բազմաթելային փաթեթների մշակման հնարավորություն՝ թույլ տալով մի քանի թելերի միաժամանակյա կատարում փաթեթային պրոցեսորներով և ապահովելով գծային մասշտաբայնություն՝ կախված պրոցեսորի միջուկների քանակից;
Կիրառվել է ընդհանուր կոնֆիգուրացիայի պահպանման և ատրիբուտների աղյուսակներ, որոնք համօգտագործվում են տարբեր ենթահամակարգերի միջև, ինչը զգալիորեն նվազեցրել է հիշողության սպառումը` վերացնելով տեղեկատվության կրկնօրինակումը.
Իրադարձությունների գրանցման նոր համակարգ՝ օգտագործելով JSON ձևաչափը և հեշտությամբ ինտեգրված արտաքին հարթակների հետ, ինչպիսիք են Elastic Stack-ը;
Անցում դեպի մոդուլային ճարտարապետություն, ֆունկցիոնալությունը ընդլայնելու հնարավորություն՝ միացնելու պլագինների և հիմնական ենթահամակարգերի ներդրման միջոցով՝ փոխարինելի փլագինների տեսքով: Ներկայումս Snort 3-ի համար արդեն ներդրվել են մի քանի հարյուր փլագիններ, որոնք ընդգրկում են կիրառման տարբեր ոլորտներ, օրինակ՝ թույլ տալով կանոններում ավելացնել ձեր սեփական կոդեկները, ներհայեցման ռեժիմները, գրանցման մեթոդները, գործողությունները և տարբերակները.
Գործող ծառայությունների ավտոմատ հայտնաբերում, վերացնելով ակտիվ ցանցի նավահանգիստները ձեռքով նշելու անհրաժեշտությունը:
Ավելացվեց ֆայլերի աջակցություն՝ լռելյայն կազմաձևի համեմատ կարգավորումներն արագորեն անտեսելու համար: Կազմաձևը պարզեցնելու համար snort_config.lua և SNORT_LUA_PATH օգտագործումը դադարեցվել է:
Ավելացված է աջակցում կարգավորումները թռիչքի ժամանակ վերաբեռնելու համար;
Կոդը հնարավորություն է տալիս օգտագործելու C++ կոնստրուկտները, որոնք սահմանված են C++14 ստանդարտում (կառուցման համար պահանջվում է C++14 աջակցող կոմպիլյատոր);
Ավելացվեց նոր VXLAN կարգավորիչ;
Բովանդակության տեսակների բարելավված որոնում ըստ բովանդակության՝ օգտագործելով թարմացված այլընտրանքային ալգորիթմների իրականացում Բոյեր-Մուր и Հիպերսկան;
Startup-ը արագացվում է՝ օգտագործելով բազմաթիվ թելեր՝ կանոնների խմբեր կազմելու համար.
Ավելացվել է անտառահատումների նոր մեխանիզմ;
Ավելացվել է RNA (Real-time Network Awareness) ստուգման համակարգ, որը հավաքում է տեղեկատվություն ցանցում հասանելի ռեսուրսների, հոսթերների, հավելվածների և ծառայությունների մասին։