Ostateczna wersja beta systemu wykrywania włamań Snort 3
Cisco представила ostateczna wersja beta całkowicie przeprojektowanego systemu zapobiegania atakom Wciągnij 3, znany również jako projekt Snort++, jest realizowany z przerwami od 2005 r. Wersja Release Candidate ma zostać opublikowana jeszcze w tym roku.
Nowy oddział całkowicie na nowo przemyślał koncepcję produktu i przeprojektował architekturę. Z obszarów, na które położono nacisk przy przygotowaniu nowego oddziału, należy uproszczenie konfiguracji i uruchamiania Snorta, automatyzacja konfiguracji, uproszczenie języka konstruowania reguł, automatyczne wykrywanie wszystkich protokołów, zapewnienie powłoki do kontroli z poziomu wiersz poleceń, aktywne wykorzystanie wielowątkowości ze współdzielonym dostępem różnych procedur obsługi do pojedynczej konfiguracji.
Wdrożono następujące istotne innowacje:
Dokonano przejścia na nowy system konfiguracji, oferujący uproszczoną składnię i pozwalający na wykorzystanie skryptów do dynamicznego generowania ustawień. LuaJIT służy do przetwarzania plików konfiguracyjnych. Wtyczki oparte na LuaJIT posiadają implementację dodatkowych opcji reguł i systemu logowania;
Zmodernizowano silnik wykrywania ataków, zaktualizowano reguły, dodano możliwość wiązania buforów w regułach (bufory lepkie). Wykorzystano wyszukiwarkę Hyperscan, która umożliwiła korzystanie z szybszych i dokładniejszych szablonów opartych na wyrażeniach regularnych w regułach;
Dodano nowy tryb introspekcji dla HTTP, który jest stanem sesji i obejmuje 99% sytuacji obsługiwanych przez zestaw testów Ochraniacz HTTP. Kod obsługi protokołu HTTP/2 jest w fazie rozwoju;
Wydajność trybu głębokiej inspekcji pakietów została znacznie poprawiona. Dodano możliwość wielowątkowego przetwarzania pakietów, umożliwiającą jednoczesne wykonywanie kilku wątków z obsługą pakietów i zapewniającą liniową skalowalność w zależności od liczby rdzeni procesora;
Wdrożono wspólne repozytorium tabel konfiguracyjnych i atrybutów, które jest współdzielone pomiędzy różnymi podsystemami, co znacznie zmniejszyło zużycie pamięci dzięki eliminacji duplikacji informacji;
Nowy system rejestrowania zdarzeń wykorzystujący format JSON i łatwo integrujący się z platformami zewnętrznymi, takimi jak Elastic Stack;
Przejście na architekturę modułową, możliwość rozbudowy funkcjonalności poprzez podłączenie wtyczek oraz realizację kluczowych podsystemów w postaci wymiennych wtyczek. Obecnie do Snort 3 zaimplementowano już kilkaset wtyczek obejmujących różne obszary zastosowań, np. pozwalających na dodawanie własnych kodeków, trybów introspekcji, metod logowania, akcji i opcji w regułach;