Cisco-bedrijf laatste bètaversie van een volledig opnieuw ontworpen aanvalspreventiesysteem , ook bekend als het Snort++-project, waar sinds 2005 met tussenpozen aan wordt gewerkt. Een release candidate staat gepland voor later dit jaar.
In de nieuwe vestiging wordt het productconcept volledig herdacht en de architectuur opnieuw ontworpen. Onder de gebieden die werden benadrukt bij het voorbereiden van een nieuwe vestiging, was er een vereenvoudiging van het opzetten en lanceren van Snort, automatisering van de configuratie, vereenvoudiging van de taal voor het construeren van regels, automatische detectie van alle protocollen, het voorzien van een shell voor controle vanuit het commando lijn, actief gebruik van multithreading met gedeelde toegang van verschillende processors tot één configuratie.
De volgende belangrijke innovaties zijn geïmplementeerd:
- Er is een overstap gemaakt naar een nieuw configuratiesysteem dat een vereenvoudigde syntaxis biedt en het gebruik van scripts mogelijk maakt om dynamisch instellingen te genereren. LuaJIT wordt gebruikt om configuratiebestanden te verwerken. Plugins gebaseerd op LuaJIT zijn voorzien van de implementatie van extra mogelijkheden voor regels en een loggingsysteem;
- De aanvalsdetectie-engine is gemoderniseerd, de regels zijn bijgewerkt en de mogelijkheid om buffers in regels te binden (sticky buffers) is toegevoegd. Er werd gebruik gemaakt van de zoekmachine Hyperscan, die het mogelijk maakte om snel en nauwkeuriger getriggerde patronen op basis van reguliere expressies in de regels te gebruiken;
- Een nieuwe introspectiemodus voor HTTP toegevoegd die rekening houdt met de sessiestatus en 99% van de situaties bestrijkt die door de testsuite worden ondersteund . Code ter ondersteuning van HTTP/2 is in ontwikkeling;
- De prestaties van de deep packet inspection-modus zijn aanzienlijk verbeterd. De mogelijkheid toegevoegd voor multi-thread pakketverwerking, waardoor gelijktijdige uitvoering van verschillende threads met pakketprocessors mogelijk is en lineaire schaalbaarheid wordt geboden, afhankelijk van het aantal CPU-kernen;
- Er zijn gemeenschappelijke configuratieopslag en attribuuttabellen geïmplementeerd, die worden gedeeld tussen verschillende subsystemen, waardoor het geheugenverbruik aanzienlijk is verminderd door het elimineren van duplicatie van informatie;
- Nieuw gebeurtenisregistratiesysteem dat gebruik maakt van JSON-formaat en eenvoudig kan worden geïntegreerd met externe platforms zoals Elastic Stack;
- Overgang naar een modulaire architectuur, de mogelijkheid om functionaliteit uit te breiden door plug-ins met elkaar te verbinden en belangrijke subsystemen te implementeren in de vorm van vervangbare plug-ins. Momenteel zijn er al enkele honderden plug-ins geïmplementeerd voor Snort 3, die verschillende toepassingsgebieden bestrijken, waardoor u bijvoorbeeld uw eigen codecs, introspectiemodi, logmethoden, acties en opties in de regels kunt toevoegen;
- Automatische detectie van actieve services, waardoor het niet meer nodig is om actieve netwerkpoorten handmatig op te geven.
Wijzigingen ten opzichte van de laatste testrelease, die in 2018 verscheen:
- Ondersteuning toegevoegd voor bestanden om snel instellingen te overschrijven ten opzichte van de standaardconfiguratie;
- De code biedt de mogelijkheid om C++-constructies te gebruiken die zijn gedefinieerd in de C++14-standaard (voor de build is een compiler vereist die C++14 ondersteunt);
- Nieuwe VXLAN-handler toegevoegd;
- Verbeterd zoeken naar inhoudstypen op inhoud met behulp van bijgewerkte alternatieve algoritme-implementaties и ;
- Het HTTP/2-verkeersinspectiesysteem is bijna volledig gereed;
- Het opstarten wordt versneld door meerdere threads te gebruiken om groepen regels samen te stellen;
- Een nieuw logmechanisme toegevoegd;
- Verbeterde detectie van Lua-fouten en geoptimaliseerde witte lijsten;
- Er zijn wijzigingen aangebracht om het herladen van instellingen direct mogelijk te maken;
- Er is een RNA-inspectiesysteem (Real-time Network Awareness) toegevoegd, dat informatie verzamelt over bronnen, hosts, applicaties en services die beschikbaar zijn op het netwerk;
- Om de configuratie te vereenvoudigen is het gebruik van snort_config.lua en SNORT_LUA_PATH stopgezet.
Bron: opennet.ru