Kompania Cisco mbi zhvillimin e një kandidati të lëshimit për një sistem plotësisht të ridizajnuar të parandalimit të sulmeve , i njohur edhe si projekti Snort++, i cili ka punuar me ndërprerje që nga viti 2005. Publikimi i qëndrueshëm është planifikuar të publikohet brenda një muaji.
Në degën Snort 3, koncepti i produktit është rimenduar plotësisht dhe arkitektura është ridizajnuar. Ndër fushat kryesore të zhvillimit të Snort 3: thjeshtimi i konfigurimit dhe funksionimit të Snort, automatizimi i konfigurimit, thjeshtimi i gjuhës për ndërtimin e rregullave, zbulimi automatik i të gjitha protokolleve, sigurimi i një predhe për kontroll nga linja e komandës, përdorimi aktiv i multithreading me akses të përbashkët të procesorëve të ndryshëm në një konfigurim të vetëm.
Risitë e mëposhtme të rëndësishme janë zbatuar:
- Është bërë një kalim në një sistem të ri konfigurimi që ofron një sintaksë të thjeshtuar dhe lejon përdorimin e skripteve për të gjeneruar në mënyrë dinamike cilësime. LuaJIT përdoret për të përpunuar skedarët e konfigurimit. Shtojcat e bazuara në LuaJIT ofrohen me zbatimin e opsioneve shtesë për rregullat dhe një sistem logging;
- Motori i zbulimit të sulmit është modernizuar, rregullat janë përditësuar dhe është shtuar aftësia për të lidhur buferët në rregulla (buffers ngjitës). U përdor motori i kërkimit Hyperscan, i cili bëri të mundur përdorimin e modeleve të shpejta dhe më të sakta të ndezura bazuar në shprehjet e rregullta në rregulla;
- U shtua një modalitet i ri introspeksioni për HTTP që merr parasysh gjendjen e sesionit dhe mbulon 99% të situatave të mbështetura nga grupi i testit . U shtua sistemi i inspektimit të trafikut HTTP/2;
- Performanca e mënyrës së inspektimit të thellë të paketave është përmirësuar ndjeshëm. U shtua aftësia për përpunimin e paketave me shumë fije, duke lejuar ekzekutimin e njëkohshëm të disa thread-ve me përpunuesit e paketave dhe duke ofruar shkallëzim linear në varësi të numrit të bërthamave të CPU;
- Janë zbatuar një tabela e përbashkët e ruajtjes dhe atributeve të konfigurimit, e cila ndahet midis nënsistemeve të ndryshme, gjë që ka ulur ndjeshëm konsumin e memories duke eliminuar dyfishimin e informacionit;
- Sistemi i ri i regjistrimit të ngjarjeve duke përdorur formatin JSON dhe i integruar lehtësisht me platforma të jashtme si Elastic Stack;
- Kalimi në një arkitekturë modulare, aftësia për të zgjeruar funksionalitetin përmes lidhjes së shtojcave dhe zbatimit të nënsistemeve kryesore në formën e shtojcave të zëvendësueshme. Aktualisht, disa qindra shtojca janë zbatuar tashmë për Snort 3, duke mbuluar fusha të ndryshme të aplikimit, për shembull, duke ju lejuar të shtoni kodekët tuaj, mënyrat e introspeksionit, metodat e regjistrimit, veprimet dhe opsionet në rregulla;
- Zbulimi automatik i shërbimeve që funksionojnë, duke eliminuar nevojën për të specifikuar manualisht portet aktive të rrjetit.
- U shtua mbështetje për skedarët për të anashkaluar shpejt cilësimet në lidhje me konfigurimin e paracaktuar. Për të thjeshtuar konfigurimin, përdorimi i snort_config.lua dhe SNORT_LUA_PATH është ndërprerë.
Mbështetje e shtuar për rimbushjen e cilësimeve në fluturim; - Kodi ofron mundësinë për të përdorur konstruktet C++ të përcaktuara në standardin C++14 (ndërtimi kërkon një përpilues që mbështet C++14);
- U shtua mbajtës i ri VXLAN;
- Kërkim i përmirësuar për llojet e përmbajtjes sipas përmbajtjes duke përdorur implementime të përditësuara të algoritmeve alternative и ;
- Fillimi përshpejtohet duke përdorur fije të shumta për të përpiluar grupe rregullash;
- Shtuar një mekanizëm të ri të prerjeve;
- Është shtuar një sistem inspektimi ARN (Real-time Network Awareness), i cili mbledh informacione rreth burimeve, hosteve, aplikacioneve dhe shërbimeve të disponueshme në rrjet.
Burimi: opennet.ru