Perusahaan Cisco tentang pengembangan kandidat rilis untuk sistem pencegahan serangan yang didesain ulang sepenuhnya , juga dikenal sebagai proyek Snort++, yang dikerjakan secara berkala sejak tahun 2005. Rilis stabil rencananya akan diterbitkan dalam waktu satu bulan.
Di cabang Snort 3, konsep produk telah dipikirkan ulang sepenuhnya dan arsitekturnya telah didesain ulang. Di antara bidang utama pengembangan Snort 3: penyederhanaan pengaturan dan pengoperasian Snort, otomatisasi konfigurasi, penyederhanaan bahasa untuk membuat aturan, deteksi otomatis semua protokol, penyediaan shell untuk kontrol dari baris perintah, penggunaan aktif dari Snort XNUMX multithreading dengan akses bersama dari prosesor yang berbeda ke satu konfigurasi.
Inovasi signifikan berikut telah diterapkan:
- Transisi telah dilakukan ke sistem konfigurasi baru yang menawarkan sintaksis yang disederhanakan dan memungkinkan penggunaan skrip untuk menghasilkan pengaturan secara dinamis. LuaJIT digunakan untuk memproses file konfigurasi. Plugin berdasarkan LuaJIT disediakan dengan implementasi opsi tambahan untuk aturan dan sistem logging;
- Mesin pendeteksi serangan telah dimodernisasi, aturan telah diperbarui, dan kemampuan untuk mengikat buffer dalam aturan (sticky buffers) telah ditambahkan. Mesin pencari Hyperscan digunakan, yang memungkinkan penggunaan pola yang dipicu dengan cepat dan lebih akurat berdasarkan ekspresi reguler dalam aturan;
- Menambahkan mode introspeksi baru untuk HTTP yang memperhitungkan status sesi akun dan mencakup 99% situasi yang didukung oleh rangkaian pengujian . Menambahkan sistem inspeksi lalu lintas HTTP/2;
- Kinerja mode pemeriksaan paket mendalam telah ditingkatkan secara signifikan. Menambahkan kemampuan pemrosesan paket multi-thread, memungkinkan eksekusi beberapa thread secara bersamaan dengan prosesor paket dan memberikan skalabilitas linier tergantung pada jumlah inti CPU;
- Penyimpanan konfigurasi umum dan tabel atribut telah diterapkan, yang dibagi antara subsistem yang berbeda, yang secara signifikan mengurangi konsumsi memori dengan menghilangkan duplikasi informasi;
- Sistem pencatatan peristiwa baru menggunakan format JSON dan mudah diintegrasikan dengan platform eksternal seperti Elastic Stack;
- Transisi ke arsitektur modular, kemampuan untuk memperluas fungsionalitas melalui koneksi plugin dan implementasi subsistem utama dalam bentuk plugin yang dapat diganti. Saat ini, beberapa ratus plugin telah diterapkan untuk Snort 3, yang mencakup berbagai area aplikasi, misalnya, memungkinkan Anda menambahkan codec Anda sendiri, mode introspeksi, metode logging, tindakan dan opsi dalam aturan;
- Deteksi otomatis layanan yang berjalan, menghilangkan kebutuhan untuk menentukan port jaringan aktif secara manual.
- Menambahkan dukungan untuk file agar dapat dengan cepat mengganti pengaturan relatif terhadap konfigurasi default. Untuk menyederhanakan konfigurasi, penggunaan snort_config.lua dan SNORT_LUA_PATH telah dihentikan.
Menambahkan dukungan untuk memuat ulang pengaturan dengan cepat; - Kode ini menyediakan kemampuan untuk menggunakan konstruksi C++ yang ditentukan dalam standar C++14 (build memerlukan kompiler yang mendukung C++14);
- Menambahkan pengendali VXLAN baru;
- Peningkatan pencarian tipe konten berdasarkan konten menggunakan implementasi algoritma alternatif yang diperbarui ΠΈ ;
- Startup dipercepat dengan menggunakan beberapa thread untuk mengkompilasi kelompok aturan;
- Menambahkan mekanisme logging baru;
- Sistem inspeksi RNA (Real-time Network Awareness) telah ditambahkan, yang mengumpulkan informasi tentang sumber daya, host, aplikasi, dan layanan yang tersedia di jaringan.
Sumber: opennet.ru