Cisco-bedrijf over de ontwikkeling van een release candidate voor een volledig opnieuw ontworpen aanvalspreventiesysteem , ook bekend als het Snort++-project, waar sinds 2005 met tussenpozen aan wordt gewerkt. De stabiele release zal naar verwachting binnen een maand verschijnen.
In de Snort 3-tak is het productconcept volledig opnieuw bedacht en is de architectuur opnieuw ontworpen. Een van de belangrijkste ontwikkelingsgebieden van Snort 3: vereenvoudiging van het opzetten en uitvoeren van Snort, automatisering van de configuratie, vereenvoudiging van de taal voor het construeren van regels, automatische detectie van alle protocollen, het aanbieden van een shell voor controle vanaf de opdrachtregel, actief gebruik van multithreading met gezamenlijke toegang van verschillende processors tot één configuratie.
De volgende belangrijke innovaties zijn geïmplementeerd:
- Er is een overstap gemaakt naar een nieuw configuratiesysteem dat een vereenvoudigde syntaxis biedt en het gebruik van scripts mogelijk maakt om dynamisch instellingen te genereren. LuaJIT wordt gebruikt om configuratiebestanden te verwerken. Plugins gebaseerd op LuaJIT zijn voorzien van de implementatie van extra mogelijkheden voor regels en een loggingsysteem;
- De aanvalsdetectie-engine is gemoderniseerd, de regels zijn bijgewerkt en de mogelijkheid om buffers in regels te binden (sticky buffers) is toegevoegd. Er werd gebruik gemaakt van de zoekmachine Hyperscan, die het mogelijk maakte om snel en nauwkeuriger getriggerde patronen op basis van reguliere expressies in de regels te gebruiken;
- Een nieuwe introspectiemodus voor HTTP toegevoegd die rekening houdt met de sessiestatus en 99% van de situaties bestrijkt die door de testsuite worden ondersteund . HTTP/2-verkeersinspectiesysteem toegevoegd;
- De prestaties van de deep packet inspection-modus zijn aanzienlijk verbeterd. De mogelijkheid toegevoegd voor multi-thread pakketverwerking, waardoor gelijktijdige uitvoering van verschillende threads met pakketprocessors mogelijk is en lineaire schaalbaarheid wordt geboden, afhankelijk van het aantal CPU-kernen;
- Er zijn gemeenschappelijke configuratieopslag en attribuuttabellen geïmplementeerd, die worden gedeeld tussen verschillende subsystemen, waardoor het geheugenverbruik aanzienlijk is verminderd door het elimineren van duplicatie van informatie;
- Nieuw gebeurtenisregistratiesysteem dat gebruik maakt van JSON-formaat en eenvoudig kan worden geïntegreerd met externe platforms zoals Elastic Stack;
- Overgang naar een modulaire architectuur, de mogelijkheid om functionaliteit uit te breiden door plug-ins met elkaar te verbinden en belangrijke subsystemen te implementeren in de vorm van vervangbare plug-ins. Momenteel zijn er al enkele honderden plug-ins geïmplementeerd voor Snort 3, die verschillende toepassingsgebieden bestrijken, waardoor u bijvoorbeeld uw eigen codecs, introspectiemodi, logmethoden, acties en opties in de regels kunt toevoegen;
- Automatische detectie van actieve services, waardoor het niet meer nodig is om actieve netwerkpoorten handmatig op te geven.
- Ondersteuning toegevoegd voor bestanden om snel instellingen te overschrijven ten opzichte van de standaardconfiguratie. Om de configuratie te vereenvoudigen is het gebruik van snort_config.lua en SNORT_LUA_PATH stopgezet.
Ondersteuning toegevoegd voor het direct herladen van instellingen; - De code biedt de mogelijkheid om C++-constructies te gebruiken die zijn gedefinieerd in de C++14-standaard (voor de build is een compiler vereist die C++14 ondersteunt);
- Nieuwe VXLAN-handler toegevoegd;
- Verbeterd zoeken naar inhoudstypen op inhoud met behulp van bijgewerkte alternatieve algoritme-implementaties и ;
- Het opstarten wordt versneld door meerdere threads te gebruiken om groepen regels samen te stellen;
- Een nieuw logmechanisme toegevoegd;
- Er is een RNA-inspectiesysteem (Real-time Network Awareness) toegevoegd, dat informatie verzamelt over bronnen, hosts, applicaties en services die beschikbaar zijn op het netwerk.
Bron: opennet.ru