Azienda Cisco versione beta finale di un sistema di prevenzione degli attacchi completamente riprogettato , noto anche come progetto Snort++, al quale si lavora a intermittenza dal 2005. È prevista la pubblicazione di una release candidate entro la fine dell'anno.
Nella nuova filiale il concetto di prodotto è stato completamente ripensato e l'architettura è stata ridisegnata. Tra le aree che sono state enfatizzate durante la preparazione di un nuovo ramo, c'era la semplificazione dell'impostazione e del lancio di Snort, l'automazione della configurazione, la semplificazione del linguaggio per la costruzione delle regole, il rilevamento automatico di tutti i protocolli, la fornitura di una shell per il controllo dal comando linea, utilizzo attivo del multithreading con accesso condiviso di diversi processori a un'unica configurazione.
Sono state implementate le seguenti significative innovazioni:
- È stata effettuata la transizione a un nuovo sistema di configurazione che offre una sintassi semplificata e consente l'uso di script per generare dinamicamente le impostazioni. LuaJIT viene utilizzato per elaborare i file di configurazione. I plugin basati su LuaJIT sono forniti con l'implementazione di opzioni aggiuntive per regole e un sistema di logging;
- Il motore di rilevamento degli attacchi è stato modernizzato, le regole sono state aggiornate ed è stata aggiunta la possibilità di vincolare i buffer nelle regole (sticky buffer). È stato utilizzato il motore di ricerca Hyperscan, che ha consentito di utilizzare modelli attivati in modo rapido e più accurato basati su espressioni regolari nelle regole;
- Aggiunta una nuova modalità di introspezione per HTTP che tiene conto dello stato della sessione e copre il 99% delle situazioni supportate dalla suite di test . Il codice per supportare HTTP/2 è in fase di sviluppo;
- Le prestazioni della modalità di ispezione approfondita dei pacchetti sono state notevolmente migliorate. Aggiunta la possibilità di elaborazione dei pacchetti multi-thread, consentendo l'esecuzione simultanea di più thread con processori di pacchetti e fornendo scalabilità lineare in base al numero di core della CPU;
- Sono state implementate una memoria di configurazione e tabelle di attributi comuni, condivise tra diversi sottosistemi, che hanno ridotto significativamente il consumo di memoria eliminando la duplicazione delle informazioni;
- Nuovo sistema di registrazione degli eventi che utilizza il formato JSON e facilmente integrabile con piattaforme esterne come Elastic Stack;
- Transizione a un'architettura modulare, capacità di espandere le funzionalità collegando plug-in e implementando sottosistemi chiave sotto forma di plug-in sostituibili. Attualmente sono già state implementate diverse centinaia di plugin per Snort 3, che coprono varie aree di applicazione, consentendo ad esempio di aggiungere i propri codec, modalità di introspezione, metodi di registrazione, azioni e opzioni nelle regole;
- Rilevamento automatico dei servizi in esecuzione, eliminando la necessità di specificare manualmente le porte di rete attive.
Cambiamenti rispetto all’ultima versione di prova, pubblicata nel 2018:
- Aggiunto supporto per i file per sovrascrivere rapidamente le impostazioni relative alla configurazione predefinita;
- Il codice offre la possibilità di utilizzare costrutti C++ definiti nello standard C++14 (la compilazione richiede un compilatore che supporti C++14);
- Aggiunto nuovo gestore VXLAN;
- Ricerca migliorata dei tipi di contenuto in base al contenuto utilizzando implementazioni di algoritmi alternativi aggiornati и ;
- Il sistema di ispezione del traffico HTTP/2 è stato quasi pienamente operativo;
- L'avvio viene accelerato utilizzando più thread per compilare gruppi di regole;
- Aggiunto un nuovo meccanismo di registrazione;
- Rilevamento migliorato degli errori Lua e whitelist ottimizzate;
- Sono state apportate modifiche per consentire il ricaricamento delle impostazioni al volo;
- È stato aggiunto un sistema di ispezione RNA (Real-time Network Awareness) che raccoglie informazioni su risorse, host, applicazioni e servizi disponibili sulla rete;
- Per semplificare la configurazione, l'uso di snort_config.lua e SNORT_LUA_PATH è stato interrotto.
Fonte: opennet.ru