Perusahaan Cisco versi beta terakhir dari sistem pencegahan serangan yang didesain ulang sepenuhnya , juga dikenal sebagai proyek Snort++, yang dikerjakan secara berkala sejak tahun 2005. Kandidat rilis rencananya akan diterbitkan akhir tahun ini.
Di cabang baru, konsep produk dipikirkan ulang sepenuhnya dan arsitektur didesain ulang. Di antara area yang ditekankan ketika mempersiapkan cabang baru, terdapat penyederhanaan pengaturan dan peluncuran Snort, otomatisasi konfigurasi, penyederhanaan bahasa untuk membuat aturan, deteksi otomatis semua protokol, penyediaan shell untuk kontrol dari perintah baris, penggunaan aktif multithreading dengan akses bersama dari prosesor yang berbeda ke konfigurasi tunggal.
Inovasi signifikan berikut telah diterapkan:
- Transisi telah dilakukan ke sistem konfigurasi baru yang menawarkan sintaksis yang disederhanakan dan memungkinkan penggunaan skrip untuk menghasilkan pengaturan secara dinamis. LuaJIT digunakan untuk memproses file konfigurasi. Plugin berdasarkan LuaJIT disediakan dengan implementasi opsi tambahan untuk aturan dan sistem logging;
- Mesin pendeteksi serangan telah dimodernisasi, aturan telah diperbarui, dan kemampuan untuk mengikat buffer dalam aturan (sticky buffers) telah ditambahkan. Mesin pencari Hyperscan digunakan, yang memungkinkan penggunaan pola yang dipicu dengan cepat dan lebih akurat berdasarkan ekspresi reguler dalam aturan;
- Menambahkan mode introspeksi baru untuk HTTP yang memperhitungkan status sesi akun dan mencakup 99% situasi yang didukung oleh rangkaian pengujian . Kode untuk mendukung HTTP/2 sedang dalam pengembangan;
- Kinerja mode pemeriksaan paket mendalam telah ditingkatkan secara signifikan. Menambahkan kemampuan pemrosesan paket multi-thread, memungkinkan eksekusi beberapa thread secara bersamaan dengan prosesor paket dan memberikan skalabilitas linier tergantung pada jumlah inti CPU;
- Penyimpanan konfigurasi umum dan tabel atribut telah diterapkan, yang dibagi antara subsistem yang berbeda, yang secara signifikan mengurangi konsumsi memori dengan menghilangkan duplikasi informasi;
- Sistem pencatatan peristiwa baru menggunakan format JSON dan mudah diintegrasikan dengan platform eksternal seperti Elastic Stack;
- Transisi ke arsitektur modular, kemampuan untuk memperluas fungsionalitas melalui koneksi plugin dan implementasi subsistem utama dalam bentuk plugin yang dapat diganti. Saat ini, beberapa ratus plugin telah diterapkan untuk Snort 3, yang mencakup berbagai area aplikasi, misalnya, memungkinkan Anda menambahkan codec Anda sendiri, mode introspeksi, metode logging, tindakan dan opsi dalam aturan;
- Deteksi otomatis layanan yang berjalan, menghilangkan kebutuhan untuk menentukan port jaringan aktif secara manual.
Perubahan dibandingkan dengan rilis tes terakhir yang diterbitkan pada tahun 2018:
- Menambahkan dukungan untuk file untuk dengan cepat mengesampingkan pengaturan relatif terhadap konfigurasi default;
- Kode ini menyediakan kemampuan untuk menggunakan konstruksi C++ yang ditentukan dalam standar C++14 (build memerlukan kompiler yang mendukung C++14);
- Menambahkan pengendali VXLAN baru;
- Peningkatan pencarian tipe konten berdasarkan konten menggunakan implementasi algoritma alternatif yang diperbarui ΠΈ ;
- Sistem pemeriksaan lalu lintas HTTP/2 hampir siap sepenuhnya;
- Startup dipercepat dengan menggunakan beberapa thread untuk mengkompilasi kelompok aturan;
- Menambahkan mekanisme logging baru;
- Peningkatan deteksi kesalahan Lua dan daftar putih yang dioptimalkan;
- Perubahan telah dilakukan untuk memungkinkan memuat ulang pengaturan dengan cepat;
- Sistem inspeksi RNA (Real-time Network Awareness) telah ditambahkan, mengumpulkan informasi tentang sumber daya, host, aplikasi dan layanan yang tersedia di jaringan;
- Untuk menyederhanakan konfigurasi, penggunaan snort_config.lua dan SNORT_LUA_PATH telah dihentikan.
Sumber: opennet.ru