Cisco versão beta final de um sistema de prevenção de ataques completamente redesenhado , também conhecido como projeto Snort++, que vem trabalhando de forma intermitente desde 2005. Um release candidate está planejado para ser publicado ainda este ano.
Na nova filial, o conceito do produto é totalmente repensado e a arquitetura redesenhada. Entre as áreas que foram enfatizadas na preparação de um novo branch, estavam a simplificação de configuração e lançamento do Snort, automação de configuração, simplificação da linguagem de construção de regras, detecção automática de todos os protocolos, disponibilização de shell para controle do comando linha, uso ativo de multithreading com acesso compartilhado de diferentes processadores para configuração única.
As seguintes inovações significativas foram implementadas:
- Foi feita uma transição para um novo sistema de configuração que oferece uma sintaxe simplificada e permite o uso de scripts para gerar configurações dinamicamente. LuaJIT é usado para processar arquivos de configuração. Plugins baseados em LuaJIT são fornecidos com implementação de opções adicionais de regras e sistema de log;
- O mecanismo de detecção de ataques foi modernizado, as regras foram atualizadas e a capacidade de vincular buffers em regras (buffers pegajosos) foi adicionada. Foi utilizado o mecanismo de busca Hyperscan, que possibilitou a utilização de padrões acionados de forma rápida e mais precisa com base em expressões regulares nas regras;
- Adicionado um novo modo de introspecção para HTTP que leva em conta o estado da sessão e cobre 99% das situações suportadas pelo conjunto de testes . O código para suportar HTTP/2 está em desenvolvimento;
- O desempenho do modo de inspeção profunda de pacotes foi significativamente melhorado. Adicionada a capacidade de processamento de pacotes multi-thread, permitindo a execução simultânea de vários threads com processadores de pacotes e fornecendo escalabilidade linear dependendo do número de núcleos da CPU;
- Foi implementada uma configuração comum de armazenamento e tabelas de atributos, que é compartilhada entre diferentes subsistemas, o que reduziu significativamente o consumo de memória ao eliminar a duplicação de informações;
- Novo sistema de registro de eventos utilizando formato JSON e facilmente integrado com plataformas externas como Elastic Stack;
- Transição para uma arquitetura modular, a capacidade de expandir a funcionalidade conectando plug-ins e implementando subsistemas principais na forma de plug-ins substituíveis. Atualmente, várias centenas de plugins já foram implementados para o Snort 3, cobrindo diversas áreas de aplicação, por exemplo, permitindo adicionar seus próprios codecs, modos de introspecção, métodos de registro, ações e opções nas regras;
- Detecção automática de serviços em execução, eliminando a necessidade de especificar manualmente portas de rede ativas.
Mudanças em comparação com a última versão de teste, publicada em 2018:
- Adicionado suporte para arquivos substituirem rapidamente as configurações relativas à configuração padrão;
- O código fornece a capacidade de usar construções C++ definidas no padrão C++14 (a construção requer um compilador que suporte C++14);
- Adicionado novo manipulador VXLAN;
- Pesquisa aprimorada de tipos de conteúdo por conteúdo usando implementações de algoritmos alternativos atualizados и ;
- O sistema de inspeção de tráfego HTTP/2 está quase totalmente pronto;
- A inicialização é acelerada usando vários threads para compilar grupos de regras;
- Adicionado um novo mecanismo de registro;
- Detecção aprimorada de erros Lua e listas de permissões otimizadas;
- Foram feitas alterações para permitir o recarregamento das configurações em tempo real;
- Foi adicionado um sistema de inspeção RNA (Real-time Network Awareness), coletando informações sobre recursos, hosts, aplicações e serviços disponíveis na rede;
- Para simplificar a configuração, o uso de snort_config.lua e SNORT_LUA_PATH foi descontinuado.
Fonte: opennet.ru