Cisco kompanija о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Įdiegtos šios svarbios naujovės:
- Pereita prie naujos konfigūracijos sistemos, kuri siūlo supaprastintą sintaksę ir leidžia naudoti scenarijus dinamiškai generuoti nustatymus. LuaJIT naudojamas konfigūracijos failams apdoroti. „LuaJIT“ pagrindu sukurti papildiniai pateikiami su papildomų taisyklių ir registravimo sistemos parinkčių įgyvendinimu;
- Modernizuotas atakų aptikimo variklis, atnaujintos taisyklės, pridėta galimybė taisyklėse susieti buferius (lipnius buferius). Buvo panaudota paieškos sistema „Hyperscan“, kuri leido naudoti greitus ir tiksliau suveikiamus šablonus, pagrįstus taisyklėse esančiomis reguliariosiomis išraiškomis;
- Pridėtas naujas HTTP savianalizės režimas, kuriame atsižvelgiama į seanso būseną ir apima 99 % situacijų, kurias palaiko bandomasis rinkinys . Добавлена система инспектирования трафика HTTP/2;
- Gilaus paketų tikrinimo režimo veikimas buvo žymiai patobulintas. Pridėta kelių gijų paketų apdorojimo galimybė, leidžianti vienu metu vykdyti kelias gijas su paketų procesoriais ir užtikrinti linijinį mastelį, priklausomai nuo procesoriaus branduolių skaičiaus;
- Įdiegtos bendros konfigūracijos saugyklos ir atributų lentelės, kurios yra dalinamos tarp skirtingų posistemių, o tai ženkliai sumažino atminties sąnaudas, pašalinant informacijos dubliavimą;
- Nauja įvykių registravimo sistema naudojant JSON formatą ir lengvai integruojama su išorinėmis platformomis, tokiomis kaip Elastic Stack;
- Perėjimas prie modulinės architektūros, galimybė išplėsti funkcionalumą jungiant papildinius ir diegiant pagrindinius posistemius keičiamų įskiepių pavidalu. Šiuo metu Snort 3 jau yra įdiegta keli šimtai įskiepių, apimančių įvairias taikymo sritis, pavyzdžiui, leidžiančiose taisyklėse pridėti savo kodekus, savistabos režimus, registravimo metodus, veiksmus ir parinktis;
- Automatinis veikiančių paslaugų aptikimas, todėl nebereikia rankiniu būdu nurodyti aktyvių tinklo prievadų.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - Kodas suteikia galimybę naudoti C++ konstrukcijas, apibrėžtas C++14 standarte (sukūrimui reikalingas kompiliatorius, palaikantis C++14);
- Pridėtas naujas VXLAN tvarkytuvas;
- Patobulinta turinio tipų paieška pagal turinį, naudojant atnaujintus alternatyvius algoritmus и ;
- Paleidimas pagreitinamas naudojant kelias gijas taisyklių grupėms sudaryti;
- Pridėtas naujas registravimo mechanizmas;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Šaltinis: opennet.ru