Cisco о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Wdrożono następujące istotne innowacje:
- Dokonano przejścia na nowy system konfiguracji, oferujący uproszczoną składnię i pozwalający na wykorzystanie skryptów do dynamicznego generowania ustawień. LuaJIT służy do przetwarzania plików konfiguracyjnych. Wtyczki oparte na LuaJIT posiadają implementację dodatkowych opcji reguł i systemu logowania;
- Zmodernizowano silnik wykrywania ataków, zaktualizowano reguły, dodano możliwość wiązania buforów w regułach (bufory lepkie). Wykorzystano wyszukiwarkę Hyperscan, która umożliwiła korzystanie z szybszych i dokładniejszych szablonów opartych na wyrażeniach regularnych w regułach;
- Dodano nowy tryb introspekcji dla HTTP, który jest stanem sesji i obejmuje 99% sytuacji obsługiwanych przez zestaw testów . Добавлена система инспектирования трафика HTTP/2;
- Wydajność trybu głębokiej inspekcji pakietów została znacznie poprawiona. Dodano możliwość wielowątkowego przetwarzania pakietów, umożliwiającą jednoczesne wykonywanie kilku wątków z obsługą pakietów i zapewniającą liniową skalowalność w zależności od liczby rdzeni procesora;
- Wdrożono wspólne repozytorium tabel konfiguracyjnych i atrybutów, które jest współdzielone pomiędzy różnymi podsystemami, co znacznie zmniejszyło zużycie pamięci dzięki eliminacji duplikacji informacji;
- Nowy system rejestrowania zdarzeń wykorzystujący format JSON i łatwo integrujący się z platformami zewnętrznymi, takimi jak Elastic Stack;
- Przejście na architekturę modułową, możliwość rozbudowy funkcjonalności poprzez podłączenie wtyczek oraz realizację kluczowych podsystemów w postaci wymiennych wtyczek. Obecnie do Snort 3 zaimplementowano już kilkaset wtyczek obejmujących różne obszary zastosowań, np. pozwalających na dodawanie własnych kodeków, trybów introspekcji, metod logowania, akcji i opcji w regułach;
- Automatyczne wykrywanie uruchomionych usług, eliminujące potrzebę ręcznego określania aktywnych portów sieciowych.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - W kodzie istnieje możliwość wykorzystania konstrukcji C++ zdefiniowanych w standardzie C++14 (kompilacja wymaga kompilatora obsługującego C++14);
- Dodano nowy moduł obsługi VXLAN;
- Ulepszone wyszukiwanie typów treści według treści przy użyciu zaktualizowanych alternatywnych implementacji algorytmów и ;
- Uruchamianie jest przyspieszane dzięki zastosowaniu kilku wątków do kompilacji grup reguł;
- Dodano nowy mechanizm logowania;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Źródło: opennet.ru