Cisco om utvecklingen av en releasekandidat för ett helt omdesignat attackförebyggande system , även känt som Snort++-projektet, som har arbetat med periodvis sedan 2005. Den stabila releasen är planerad att publiceras inom en månad.
I grenen Snort 3 har produktkonceptet helt omtänkts och arkitekturen har gjorts om. Bland nyckelområdena för utvecklingen av Snort 3: förenkling av att installera och köra Snort, automatisering av konfiguration, förenkling av språket för att konstruera regler, automatisk upptäckt av alla protokoll, tillhandahållande av ett skal för kontroll från kommandoraden, aktiv användning av multithreading med gemensam åtkomst av olika processorer till en enda konfiguration.
Följande viktiga innovationer har implementerats:
- En övergång till ett nytt konfigurationssystem har gjorts, som erbjuder en förenklad syntax och tillåter användning av skript för att dynamiskt generera inställningar. LuaJIT används för att bearbeta konfigurationsfiler. LuaJIT-baserade plugins är försedda med implementering av ytterligare alternativ för regler och ett loggningssystem;
- Motorn för att upptäcka attacker har moderniserats, reglerna har uppdaterats, möjligheten att binda buffertar i regler (sticky buffers) har lagts till. Sökmotorn Hyperscan användes, vilket gjorde det möjligt att använda snabba och mer exakta mallar baserade på reguljära uttryck i reglerna;
- Lade till ett nytt introspektionsläge för HTTP som är sessionstillstånd och täcker 99 % av situationerna som stöds av testsviten . Lade till HTTP/2-trafikinspektionssystem;
- Prestandan för Deep Packet Inspection-läget har förbättrats avsevärt. Lade till möjligheten till flertrådspaketbearbetning, vilket möjliggör samtidig exekvering av flera trådar med pakethanterare och ger linjär skalbarhet beroende på antalet CPU-kärnor;
- Implementerat ett gemensamt arkiv med konfigurations- och attributtabeller, som delas mellan olika delsystem, vilket har minskat minnesförbrukningen avsevärt på grund av elimineringen av duplicering av information;
- Nytt händelseloggningssystem som använder JSON-format och enkelt integrerat med externa plattformar som Elastic Stack;
- Övergången till en modulär arkitektur, möjligheten att utöka funktionaliteten genom anslutning av plug-ins och implementering av viktiga delsystem i form av utbytbara plug-ins. För närvarande har flera hundra plugins redan implementerats för Snort 3, som täcker olika applikationsområden, till exempel låter dig lägga till dina egna codecs, introspektionslägen, loggningsmetoder, åtgärder och alternativ i regler;
- Automatisk upptäckt av pågående tjänster, vilket eliminerar behovet av att manuellt specificera aktiva nätverksportar.
- Lade till stöd för filer för att snabbt åsidosätta inställningar i förhållande till standardkonfigurationen. För att förenkla konfigurationen har användningen av snort_config.lua och SNORT_LUA_PATH avbrutits.
Lade till stöd för att ladda om inställningar i farten; - Koden ger möjlighet att använda C++-konstruktioner definierade i C++14-standarden (bygg kräver en kompilator som stöder C++14);
- Lade till ny VXLAN-hanterare;
- Förbättrad sökning efter innehållstyper efter innehåll med hjälp av uppdaterade alternativa implementeringar av algoritmer и ;
- Uppstarten påskyndas på grund av användningen av flera trådar för att sammanställa grupper av regler;
- Lade till en ny loggningsmekanism;
- Ett RNA (Real-time Network Awareness) inspektionssystem har lagts till, som samlar in information om resurser, värdar, applikationer och tjänster som finns tillgängliga på nätverket.
Källa: opennet.ru