Spoločnosť Cisco финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Boli implementované tieto významné inovácie:
- Prešiel sa na nový konfiguračný systém, ktorý ponúka zjednodušenú syntax a umožňuje použitie skriptov na dynamické generovanie nastavení. LuaJIT sa používa na spracovanie konfiguračných súborov. Pluginy založené na LuaJIT sú vybavené implementáciou dodatočných možností pravidiel a logovacieho systému;
- Zmodernizoval sa engine na detekciu útokov, aktualizovali sa pravidlá a pribudla možnosť viazať vyrovnávacie pamäte v pravidlách (sticky buffers). Použil sa vyhľadávací nástroj Hyperscan, ktorý umožnil používať rýchle a presnejšie spúšťané vzory založené na regulárnych výrazoch v pravidlách;
- Pridaný nový režim introspekcie pre HTTP, ktorý zohľadňuje stav relácie a pokrýva 99 % situácií podporovaných testovacím balíkom . В разработке находится код для поддержки HTTP/2;
- Výkon režimu hĺbkovej kontroly paketov sa výrazne zlepšil. Pridaná schopnosť viacvláknového spracovania paketov, čo umožňuje súčasné vykonávanie niekoľkých vlákien s paketovými procesormi a poskytuje lineárnu škálovateľnosť v závislosti od počtu jadier CPU;
- Bolo implementované spoločné ukladanie konfigurácií a tabuľky atribútov, ktoré sú zdieľané medzi rôznymi subsystémami, čo výrazne znížilo spotrebu pamäte odstránením duplikácie informácií;
- Nový systém zaznamenávania udalostí pomocou formátu JSON a jednoducho integrovateľný s externými platformami, ako je Elastic Stack;
- Prechod na modulárnu architektúru, možnosť rozšírenia funkcionality prostredníctvom pripojenia pluginov a implementácie kľúčových subsystémov vo forme vymeniteľných pluginov. V súčasnosti je pre Snort 3 implementovaných niekoľko stoviek pluginov, ktoré pokrývajú rôzne oblasti použitia, napríklad umožňujú pridávať vlastné kodeky, režimy introspekcie, metódy protokolovania, akcie a možnosti v pravidlách;
- Automatická detekcia spustených služieb, ktorá eliminuje potrebu manuálneho zadávania aktívnych sieťových portov.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Kód poskytuje možnosť používať konštrukty C++ definované v štandarde C++14 (zostavenie vyžaduje kompilátor, ktorý podporuje C++14);
- Pridaný nový obslužný program VXLAN;
- Vylepšené vyhľadávanie typov obsahu podľa obsahu pomocou aktualizovaných implementácií alternatívnych algoritmov и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Spustenie je zrýchlené použitím viacerých vlákien na zostavenie skupín pravidiel;
- Pridaný nový mechanizmus protokolovania;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Zdroj: opennet.ru