Cisco den slutliga betaversionen av ett helt omdesignat attackförebyggande system , även känt som Snort++-projektet, har pågått periodvis sedan 2005. En releasekandidat är planerad att publiceras senare i år.
I den nya grenen har konceptet för produkten helt omtänkts och arkitekturen har gjorts om. Av de områden som betonades när man förberedde en ny gren finns det en förenkling av konfigurering och körning av Snort, konfigurationsautomatisering, förenkling av regelbyggande språk, automatisk upptäckt av alla protokoll, tillhandahållande av ett skal för kontroll från kommandoraden, aktiv användning av multithreading med delad åtkomst av olika hanterare till en enda konfiguration.
Följande viktiga innovationer har implementerats:
- En övergång till ett nytt konfigurationssystem har gjorts, som erbjuder en förenklad syntax och tillåter användning av skript för att dynamiskt generera inställningar. LuaJIT används för att bearbeta konfigurationsfiler. LuaJIT-baserade plugins är försedda med implementering av ytterligare alternativ för regler och ett loggningssystem;
- Motorn för att upptäcka attacker har moderniserats, reglerna har uppdaterats, möjligheten att binda buffertar i regler (sticky buffers) har lagts till. Sökmotorn Hyperscan användes, vilket gjorde det möjligt att använda snabba och mer exakta mallar baserade på reguljära uttryck i reglerna;
- Lade till ett nytt introspektionsläge för HTTP som är sessionstillstånd och täcker 99 % av situationerna som stöds av testsviten . Kod för HTTP/2-stöd är under utveckling;
- Prestandan för Deep Packet Inspection-läget har förbättrats avsevärt. Lade till möjligheten till flertrådspaketbearbetning, vilket möjliggör samtidig exekvering av flera trådar med pakethanterare och ger linjär skalbarhet beroende på antalet CPU-kärnor;
- Implementerat ett gemensamt arkiv med konfigurations- och attributtabeller, som delas mellan olika delsystem, vilket har minskat minnesförbrukningen avsevärt på grund av elimineringen av duplicering av information;
- Nytt händelseloggningssystem som använder JSON-format och enkelt integrerat med externa plattformar som Elastic Stack;
- Övergången till en modulär arkitektur, möjligheten att utöka funktionaliteten genom anslutning av plug-ins och implementering av viktiga delsystem i form av utbytbara plug-ins. För närvarande har flera hundra plugins redan implementerats för Snort 3, som täcker olika applikationsområden, till exempel låter dig lägga till dina egna codecs, introspektionslägen, loggningsmetoder, åtgärder och alternativ i regler;
- Automatisk upptäckt av pågående tjänster, vilket eliminerar behovet av att manuellt specificera aktiva nätverksportar.
Förändringar sedan den senaste testversionen, som publicerades 2018:
- Lade till stöd för filer för att snabbt åsidosätta inställningar i förhållande till standardkonfigurationen;
- Koden ger möjlighet att använda C++-konstruktioner definierade i C++14-standarden (bygg kräver en kompilator som stöder C++14);
- Lade till ny VXLAN-hanterare;
- Förbättrad sökning efter innehållstyper efter innehåll med hjälp av uppdaterade alternativa implementeringar av algoritmer и ;
- HTTP/2-trafikinspektionssystemet har praktiskt taget kommit i full beredskap;
- Uppstarten påskyndas på grund av användningen av flera trådar för att sammanställa grupper av regler;
- Lade till en ny loggningsmekanism;
- Förbättrad Lua-feldetektering och optimerad vitlista;
- Ändringar har gjorts för att implementera omladdningsinställningar i farten;
- Lade till ett RNA (Real-time Network Awareness) inspektionssystem som samlar in information om resurser, värdar, applikationer och tjänster tillgängliga på nätverket;
- Användningen av snort_config.lua och SNORT_LUA_PATH har fasats ut för att förenkla konfigurationen.
Källa: opennet.ru