Finálne beta vydanie systému detekcie narušenia Snort 3
Spoločnosť Cisco представила финальную бета-версию полностью переработанной системы предотвращения атак Odfrknite si 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Boli implementované tieto významné inovácie:
Prešiel sa na nový konfiguračný systém, ktorý ponúka zjednodušenú syntax a umožňuje použitie skriptov na dynamické generovanie nastavení. LuaJIT sa používa na spracovanie konfiguračných súborov. Pluginy založené na LuaJIT sú vybavené implementáciou dodatočných možností pravidiel a logovacieho systému;
Zmodernizoval sa engine na detekciu útokov, aktualizovali sa pravidlá a pribudla možnosť viazať vyrovnávacie pamäte v pravidlách (sticky buffers). Použil sa vyhľadávací nástroj Hyperscan, ktorý umožnil používať rýchle a presnejšie spúšťané vzory založené na regulárnych výrazoch v pravidlách;
Pridaný nový režim introspekcie pre HTTP, ktorý zohľadňuje stav relácie a pokrýva 99 % situácií podporovaných testovacím balíkom HTTP Evader. В разработке находится код для поддержки HTTP/2;
Výkon režimu hĺbkovej kontroly paketov sa výrazne zlepšil. Pridaná schopnosť viacvláknového spracovania paketov, čo umožňuje súčasné vykonávanie niekoľkých vlákien s paketovými procesormi a poskytuje lineárnu škálovateľnosť v závislosti od počtu jadier CPU;
Bolo implementované spoločné ukladanie konfigurácií a tabuľky atribútov, ktoré sú zdieľané medzi rôznymi subsystémami, čo výrazne znížilo spotrebu pamäte odstránením duplikácie informácií;
Nový systém zaznamenávania udalostí pomocou formátu JSON a jednoducho integrovateľný s externými platformami, ako je Elastic Stack;
Prechod na modulárnu architektúru, možnosť rozšírenia funkcionality prostredníctvom pripojenia pluginov a implementácie kľúčových subsystémov vo forme vymeniteľných pluginov. V súčasnosti je pre Snort 3 implementovaných niekoľko stoviek pluginov, ktoré pokrývajú rôzne oblasti použitia, napríklad umožňujú pridávať vlastné kodeky, režimy introspekcie, metódy protokolovania, akcie a možnosti v pravidlách;