Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Følgende viktige innovasjoner er implementert:
- En overgang er gjort til et nytt konfigurasjonssystem som tilbyr en forenklet syntaks og tillater bruk av skript for å dynamisk generere innstillinger. LuaJIT brukes til å behandle konfigurasjonsfiler. Plugins basert på LuaJIT er utstyrt med implementering av tilleggsalternativer for regler og et loggingssystem;
- Angrepsdeteksjonsmotoren er modernisert, reglene er oppdatert, og muligheten til å binde buffere i regler (sticky buffers) er lagt til. Det ble brukt Hyperscan-søkemotoren som gjorde det mulig å bruke raske og mer nøyaktig utløste mønstre basert på regulære uttrykk i reglene;
- Lagt til en ny introspeksjonsmodus for HTTP som tar hensyn til øktstatus og dekker 99 % av situasjonene som støttes av testpakken . В разработке находится код для поддержки HTTP/2;
- Ytelsen til dyppakkeinspeksjonsmodusen har blitt betydelig forbedret. Lagt til muligheten til multi-tråds pakkebehandling, som muliggjør samtidig utførelse av flere tråder med pakkeprosessorer og gir lineær skalerbarhet avhengig av antall CPU-kjerner;
- En felles konfigurasjonslagring og attributttabeller er implementert, som deles mellom ulike undersystemer, noe som har redusert minneforbruket betydelig ved å eliminere duplisering av informasjon;
- Nytt hendelsesloggingssystem som bruker JSON-format og enkelt integrert med eksterne plattformer som Elastic Stack;
- Overgang til en modulær arkitektur, muligheten til å utvide funksjonaliteten gjennom å koble til plugins og implementere sentrale undersystemer i form av utskiftbare plugins. For øyeblikket er det allerede implementert flere hundre plugins for Snort 3, som dekker ulike bruksområder, for eksempel slik at du kan legge til dine egne kodeker, introspeksjonsmoduser, loggingsmetoder, handlinger og alternativer i reglene;
- Automatisk gjenkjenning av kjørende tjenester, eliminerer behovet for manuelt å spesifisere aktive nettverksporter.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Koden gir muligheten til å bruke C++-konstruksjoner definert i C++14-standarden (bygg krever en kompilator som støtter C++14);
- Lagt til ny VXLAN-behandler;
- Forbedret søk etter innholdstyper etter innhold ved hjelp av oppdaterte alternative algoritmeimplementeringer и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Oppstart akselereres ved å bruke flere tråder for å kompilere grupper av regler;
- Lagt til en ny loggingsmekanisme;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Kilde: opennet.ru