Cisco о формировании кандидата в релизы полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.
В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Au fost implementate următoarele inovații semnificative:
- S-a făcut o tranziție către un nou sistem de configurare care oferă o sintaxă simplificată și permite utilizarea de scripturi pentru a genera dinamic setări. LuaJIT este folosit pentru a procesa fișierele de configurare. Pluginurile bazate pe LuaJIT sunt furnizate cu implementarea de opțiuni suplimentare pentru reguli și un sistem de logare;
- Motorul de detectare a atacurilor a fost modernizat, regulile au fost actualizate și a fost adăugată capacitatea de a lega buffer-uri în reguli (buffer-uri lipicioase). A fost folosit motorul de căutare Hyperscan, care a făcut posibilă utilizarea unor modele declanșate rapid și mai precis bazate pe expresii regulate din reguli;
- S-a adăugat un nou mod de introspecție pentru HTTP care ia în considerare starea sesiunii și acoperă 99% din situațiile acceptate de suita de teste . Добавлена система инспектирования трафика HTTP/2;
- Performanța modului de inspecție profundă a pachetelor a fost îmbunătățită semnificativ. S-a adăugat capacitatea de procesare a pachetelor multi-thread, permițând executarea simultană a mai multor fire de execuție cu procesoare de pachete și oferind scalabilitate liniară în funcție de numărul de nuclee CPU;
- S-a implementat o stocare de configurare comună și tabele de atribute, care este partajată între diferite subsisteme, ceea ce a redus semnificativ consumul de memorie prin eliminarea dublării informațiilor;
- Nou sistem de înregistrare a evenimentelor folosind formatul JSON și ușor de integrat cu platforme externe precum Elastic Stack;
- Trecerea la o arhitectură modulară, capacitatea de a extinde funcționalitatea prin conectarea pluginurilor și implementarea subsistemelor cheie sub formă de pluginuri înlocuibile. În prezent, câteva sute de plugin-uri au fost deja implementate pentru Snort 3, acoperind diverse domenii de aplicare, de exemplu, permițându-vă să adăugați propriile codecuri, moduri de introspecție, metode de înregistrare, acțiuni și opțiuni în reguli;
- Detectarea automată a serviciilor care rulează, eliminând necesitatea de a specifica manual porturile de rețea active.
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Добавлена поддержка перезагрузки настроек на лету; - Codul oferă posibilitatea de a utiliza constructe C++ definite în standardul C++14 (buildul necesită un compilator care acceptă C++14);
- S-a adăugat un nou handler VXLAN;
- Căutare îmbunătățită pentru tipuri de conținut în funcție de conținut folosind implementări actualizate de algoritm alternativ и ;
- Pornirea este accelerată prin utilizarea mai multor fire pentru a compila grupuri de reguli;
- S-a adăugat un nou mecanism de înregistrare;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
Sursa: opennet.ru