Cisco om utvikling av en utgivelseskandidat for et fullstendig redesignet angrepsforebyggingssystem , også kjent som Snort++-prosjektet, som har jobbet med periodisk siden 2005. Den stabile utgivelsen er planlagt publisert innen en måned.
I Snort 3-grenen har produktkonseptet blitt helt nytt og arkitekturen er redesignet. Blant nøkkelområdene for utvikling av Snort 3: forenkling av å sette opp og kjøre Snort, automatisering av konfigurasjon, forenkling av språket for å konstruere regler, automatisk gjenkjenning av alle protokoller, tilveiebringelse av et skall for kontroll fra kommandolinjen, aktiv bruk av multithreading med felles tilgang av forskjellige prosessorer til en enkelt konfigurasjon.
Følgende viktige innovasjoner er implementert:
- En overgang er gjort til et nytt konfigurasjonssystem som tilbyr en forenklet syntaks og tillater bruk av skript for å dynamisk generere innstillinger. LuaJIT brukes til å behandle konfigurasjonsfiler. Plugins basert på LuaJIT er utstyrt med implementering av tilleggsalternativer for regler og et loggingssystem;
- Angrepsdeteksjonsmotoren er modernisert, reglene er oppdatert, og muligheten til å binde buffere i regler (sticky buffers) er lagt til. Det ble brukt Hyperscan-søkemotoren som gjorde det mulig å bruke raske og mer nøyaktig utløste mønstre basert på regulære uttrykk i reglene;
- Lagt til en ny introspeksjonsmodus for HTTP som tar hensyn til øktstatus og dekker 99 % av situasjonene som støttes av testpakken . Lagt til HTTP/2 trafikkinspeksjonssystem;
- Ytelsen til dyppakkeinspeksjonsmodusen har blitt betydelig forbedret. Lagt til muligheten til multi-tråds pakkebehandling, som muliggjør samtidig utførelse av flere tråder med pakkeprosessorer og gir lineær skalerbarhet avhengig av antall CPU-kjerner;
- En felles konfigurasjonslagring og attributttabeller er implementert, som deles mellom ulike undersystemer, noe som har redusert minneforbruket betydelig ved å eliminere duplisering av informasjon;
- Nytt hendelsesloggingssystem som bruker JSON-format og enkelt integrert med eksterne plattformer som Elastic Stack;
- Overgang til en modulær arkitektur, muligheten til å utvide funksjonaliteten gjennom å koble til plugins og implementere sentrale undersystemer i form av utskiftbare plugins. For øyeblikket er det allerede implementert flere hundre plugins for Snort 3, som dekker ulike bruksområder, for eksempel slik at du kan legge til dine egne kodeker, introspeksjonsmoduser, loggingsmetoder, handlinger og alternativer i reglene;
- Automatisk gjenkjenning av kjørende tjenester, eliminerer behovet for manuelt å spesifisere aktive nettverksporter.
- Lagt til støtte for filer for raskt å overstyre innstillinger i forhold til standardkonfigurasjonen. For å forenkle konfigurasjonen er bruken av snort_config.lua og SNORT_LUA_PATH avviklet.
Lagt til støtte for omlasting av innstillinger på farten; - Koden gir muligheten til å bruke C++-konstruksjoner definert i C++14-standarden (bygg krever en kompilator som støtter C++14);
- Lagt til ny VXLAN-behandler;
- Forbedret søk etter innholdstyper etter innhold ved hjelp av oppdaterte alternative algoritmeimplementeringer и ;
- Oppstart akselereres ved å bruke flere tråder for å kompilere grupper av regler;
- Lagt til en ny loggingsmekanisme;
- Det er lagt til et RNA (Real-time Network Awareness) inspeksjonssystem som samler informasjon om ressurser, verter, applikasjoner og tjenester tilgjengelig på nettverket.
Kilde: opennet.ru