Cisco no desenvolvimento de um release candidate para um sistema de prevenção de ataques completamente redesenhado , também conhecido como projeto Snort++, que vem trabalhando de forma intermitente desde 2005. A versão estável está planejada para ser publicada dentro de um mês.
Na filial Snort 3, o conceito do produto foi totalmente repensado e a arquitetura redesenhada. Entre as principais áreas de desenvolvimento do Snort 3: simplificação da configuração e execução do Snort, automação da configuração, simplificação da linguagem para construção de regras, detecção automática de todos os protocolos, fornecimento de um shell para controle a partir da linha de comando, uso ativo de multithreading com acesso conjunto de diferentes processadores a uma única configuração.
As seguintes inovações significativas foram implementadas:
- Foi feita uma transição para um novo sistema de configuração que oferece uma sintaxe simplificada e permite o uso de scripts para gerar configurações dinamicamente. LuaJIT é usado para processar arquivos de configuração. Plugins baseados em LuaJIT são fornecidos com implementação de opções adicionais de regras e sistema de log;
- O mecanismo de detecção de ataques foi modernizado, as regras foram atualizadas e a capacidade de vincular buffers em regras (buffers pegajosos) foi adicionada. Foi utilizado o mecanismo de busca Hyperscan, que possibilitou a utilização de padrões acionados de forma rápida e mais precisa com base em expressões regulares nas regras;
- Adicionado um novo modo de introspecção para HTTP que leva em conta o estado da sessão e cobre 99% das situações suportadas pelo conjunto de testes . Adicionado sistema de inspeção de tráfego HTTP/2;
- O desempenho do modo de inspeção profunda de pacotes foi significativamente melhorado. Adicionada a capacidade de processamento de pacotes multi-thread, permitindo a execução simultânea de vários threads com processadores de pacotes e fornecendo escalabilidade linear dependendo do número de núcleos da CPU;
- Foi implementada uma configuração comum de armazenamento e tabelas de atributos, que é compartilhada entre diferentes subsistemas, o que reduziu significativamente o consumo de memória ao eliminar a duplicação de informações;
- Novo sistema de registro de eventos utilizando formato JSON e facilmente integrado com plataformas externas como Elastic Stack;
- Transição para uma arquitetura modular, a capacidade de expandir a funcionalidade conectando plug-ins e implementando subsistemas principais na forma de plug-ins substituíveis. Atualmente, várias centenas de plugins já foram implementados para o Snort 3, cobrindo diversas áreas de aplicação, por exemplo, permitindo adicionar seus próprios codecs, modos de introspecção, métodos de registro, ações e opções nas regras;
- Detecção automática de serviços em execução, eliminando a necessidade de especificar manualmente portas de rede ativas.
- Adicionado suporte para arquivos para substituir rapidamente as configurações relativas à configuração padrão. Para simplificar a configuração, o uso de snort_config.lua e SNORT_LUA_PATH foi descontinuado.
Adicionado suporte para recarregar configurações em tempo real; - O código fornece a capacidade de usar construções C++ definidas no padrão C++14 (a construção requer um compilador que suporte C++14);
- Adicionado novo manipulador VXLAN;
- Pesquisa aprimorada de tipos de conteúdo por conteúdo usando implementações de algoritmos alternativos atualizados и ;
- A inicialização é acelerada usando vários threads para compilar grupos de regras;
- Adicionado um novo mecanismo de registro;
- Foi adicionado um sistema de inspeção RNA (Real-time Network Awareness), que coleta informações sobre recursos, hosts, aplicações e serviços disponíveis na rede.
Fonte: opennet.ru
