ProHoster > Blog > internetne novice > Končna različica beta sistema za zaznavanje vdorov Snort 3

Končna različica beta sistema za zaznavanje vdorov Snort 3

Cisco predstavljeno zadnja različica beta popolnoma prenovljenega sistema za preprečevanje napadov Smrčanje 3, znan tudi kot projekt Snort++, s prekinitvami poteka od leta 2005. Kandidat za izdajo naj bi bil objavljen pozneje letos.

V novi podružnici je bil popolnoma prenovljen koncept izdelka in prenovljena arhitektura. Od področij, ki so bila poudarjena pri pripravi nove veje, so poenostavitev konfiguriranja in zagona Snort-a, avtomatizacija konfiguracije, poenostavitev jezika za gradnjo pravil, samodejno zaznavanje vseh protokolov, zagotavljanje lupine za nadzor iz ukazne vrstice, aktivna uporaba večnitnosti s skupnim dostopom različnih upravljavcev do ene konfiguracije.

Uvedene so bile naslednje pomembne novosti:

  • Izveden je bil prehod na nov konfiguracijski sistem, ki ponuja poenostavljeno sintakso in omogoča uporabo skriptov za dinamično ustvarjanje nastavitev. LuaJIT se uporablja za obdelavo konfiguracijskih datotek. Vtičniki, ki temeljijo na LuaJIT, so opremljeni z implementacijo dodatnih možnosti za pravila in sistem beleženja;
  • Posodobljen je motor za zaznavanje napadov, posodobljena pravila, dodana je možnost vezave medpomnilnikov v pravila (sticky buffers). Uporabljen je bil iskalnik Hyperscan, ki je omogočil uporabo hitrejših in natančnejših predlog na podlagi regularnih izrazov v pravilih;
  • Dodan je nov introspekcijski način za HTTP, ki je s stanjem seje in pokriva 99 % situacij, ki jih podpira preskusna zbirka HTTP Evader. Koda za podporo HTTP/2 je v razvoju;
  • Delovanje načina Deep Packet Inspection je bilo bistveno izboljšano. Dodana možnost večnitne obdelave paketov, ki omogoča hkratno izvajanje več niti z obdelovalci paketov in zagotavlja linearno razširljivost glede na število jeder CPU;
  • Implementiran skupni repozitorij konfiguracijskih in atributnih tabel, ki si ga delijo različni podsistemi, kar je bistveno zmanjšalo porabo pomnilnika zaradi odprave podvajanja informacij;
  • Nov sistem beleženja dogodkov, ki uporablja format JSON in se enostavno integrira z zunanjimi platformami, kot je Elastic Stack;
  • Prehod na modularno arhitekturo, možnost razširitve funkcionalnosti s povezovanjem vtičnikov in implementacijo ključnih podsistemov v obliki zamenljivih vtičnikov. Trenutno je za Snort 3 implementiranih že več sto vtičnikov, ki pokrivajo različna področja uporabe, na primer omogočajo dodajanje lastnih kodekov, načinov introspekcije, metod beleženja, dejanj in možnosti v pravilih;
  • Samodejno zaznavanje delujočih storitev, kar odpravlja potrebo po ročnem določanju aktivnih omrežnih vrat.

Spremembe od zadnje testne izdaje, ki je bila objavljena leta 2018:

  • Dodana podpora za datoteke za hitro preglasitev nastavitev glede na privzeto konfiguracijo;
  • Koda omogoča uporabo konstruktov C++, definiranih v standardu C++14 (zgradba zahteva prevajalnik, ki podpira C++14);
  • Dodan nov upravljalnik VXLAN;
  • Izboljšano iskanje vrst vsebine po vsebini z uporabo posodobljenih alternativnih izvedb algoritmov Boyer-Moore и Hyperscan;
  • Sistem nadzora prometa HTTP/2 je praktično pripravljen;
  • Zagon je pospešen zaradi uporabe več niti za sestavljanje skupin pravil;
  • Dodan nov mehanizem beleženja;
  • Izboljšano zaznavanje napak Lua in optimiziran seznam dovoljenih;
  • Izvedene so bile spremembe za izvajanje nastavitev ponovnega nalaganja na letenju;
  • Dodan sistem pregledovanja RNA (Real-time Network Awareness), ki zbira informacije o virih, gostiteljih, aplikacijah in storitvah, ki so na voljo v omrežju;
  • Uporaba snort_config.lua in SNORT_LUA_PATH je bila opuščena zaradi poenostavitve konfiguracije.

Vir: opennet.ru

Dodaj komentar