Azienda Cisco sullo sviluppo di una release candidate per un sistema di prevenzione degli attacchi completamente riprogettato , noto anche come progetto Snort++, al quale si lavora a intermittenza dal 2005. La pubblicazione della versione stabile è prevista entro un mese.
Nel ramo Snort 3, il concetto di prodotto è stato completamente ripensato e l'architettura è stata ridisegnata. Tra le aree chiave dello sviluppo di Snort 3: semplificazione dell'impostazione e dell'esecuzione di Snort, automazione della configurazione, semplificazione del linguaggio per la costruzione delle regole, rilevamento automatico di tutti i protocolli, fornitura di una shell per il controllo dalla riga di comando, uso attivo di multithreading con accesso congiunto di diversi processori a un'unica configurazione.
Sono state implementate le seguenti significative innovazioni:
- È stata effettuata la transizione a un nuovo sistema di configurazione che offre una sintassi semplificata e consente l'uso di script per generare dinamicamente le impostazioni. LuaJIT viene utilizzato per elaborare i file di configurazione. I plugin basati su LuaJIT sono forniti con l'implementazione di opzioni aggiuntive per regole e un sistema di logging;
- Il motore di rilevamento degli attacchi è stato modernizzato, le regole sono state aggiornate ed è stata aggiunta la possibilità di vincolare i buffer nelle regole (sticky buffer). È stato utilizzato il motore di ricerca Hyperscan, che ha consentito di utilizzare modelli attivati in modo rapido e più accurato basati su espressioni regolari nelle regole;
- Aggiunta una nuova modalità di introspezione per HTTP che tiene conto dello stato della sessione e copre il 99% delle situazioni supportate dalla suite di test . Aggiunto sistema di ispezione del traffico HTTP/2;
- Le prestazioni della modalità di ispezione approfondita dei pacchetti sono state notevolmente migliorate. Aggiunta la possibilità di elaborazione dei pacchetti multi-thread, consentendo l'esecuzione simultanea di più thread con processori di pacchetti e fornendo scalabilità lineare in base al numero di core della CPU;
- Sono state implementate una memoria di configurazione e tabelle di attributi comuni, condivise tra diversi sottosistemi, che hanno ridotto significativamente il consumo di memoria eliminando la duplicazione delle informazioni;
- Nuovo sistema di registrazione degli eventi che utilizza il formato JSON e facilmente integrabile con piattaforme esterne come Elastic Stack;
- Transizione a un'architettura modulare, capacità di espandere le funzionalità collegando plug-in e implementando sottosistemi chiave sotto forma di plug-in sostituibili. Attualmente sono già state implementate diverse centinaia di plugin per Snort 3, che coprono varie aree di applicazione, consentendo ad esempio di aggiungere i propri codec, modalità di introspezione, metodi di registrazione, azioni e opzioni nelle regole;
- Rilevamento automatico dei servizi in esecuzione, eliminando la necessità di specificare manualmente le porte di rete attive.
- Aggiunto il supporto per i file per sovrascrivere rapidamente le impostazioni relative alla configurazione predefinita. Per semplificare la configurazione, l'uso di snort_config.lua e SNORT_LUA_PATH è stato interrotto.
Aggiunto supporto per ricaricare le impostazioni al volo; - Il codice offre la possibilità di utilizzare costrutti C++ definiti nello standard C++14 (la compilazione richiede un compilatore che supporti C++14);
- Aggiunto nuovo gestore VXLAN;
- Ricerca migliorata dei tipi di contenuto in base al contenuto utilizzando implementazioni di algoritmi alternativi aggiornati и ;
- L'avvio viene accelerato utilizzando più thread per compilare gruppi di regole;
- Aggiunto un nuovo meccanismo di registrazione;
- È stato aggiunto un sistema di ispezione RNA (Real-time Network Awareness) che raccoglie informazioni su risorse, host, applicazioni e servizi disponibili sulla rete.
Fonte: opennet.ru