ProHoster > blog > habari za mtandao > Utoaji wa mwisho wa beta wa mfumo wa kugundua uvamizi wa Snort 3

Utoaji wa mwisho wa beta wa mfumo wa kugundua uvamizi wa Snort 3

Cisco imewasilishwa toleo la mwisho la beta la mfumo ulioundwa upya kabisa wa kuzuia mashambulizi Kukoroma 3, pia inajulikana kama mradi wa Snort++, ambao umekuwa ukifanya kazi mara kwa mara tangu 2005. Mgombea wa kuachiliwa huru amepangwa kuchapishwa baadaye mwaka huu.

Katika tawi jipya, dhana ya bidhaa inafikiriwa upya kabisa na usanifu unafanywa upya. Miongoni mwa maeneo ambayo yalisisitizwa wakati wa kuandaa tawi jipya, kulikuwa na kurahisisha kuanzisha na kuzindua Snort, otomatiki ya usanidi, kurahisisha lugha ya kuunda sheria, kugundua kiotomatiki kwa itifaki zote, utoaji wa ganda kwa udhibiti kutoka kwa amri. line, matumizi amilifu ya usomaji mwingi na ufikiaji wa pamoja wa wasindikaji tofauti kwa usanidi mmoja.

Ubunifu muhimu ufuatao umetekelezwa:

  • Mpito umefanywa kwa mfumo mpya wa usanidi ambao hutoa sintaksia iliyorahisishwa na kuruhusu matumizi ya hati kuzalisha mipangilio kwa nguvu. LuaJIT hutumiwa kuchakata faili za usanidi. Plugins kulingana na LuaJIT hutolewa kwa utekelezaji wa chaguzi za ziada kwa sheria na mfumo wa magogo;
  • Injini ya kutambua mashambulizi imesasishwa, sheria zimesasishwa, na uwezo wa kufunga vihifadhi katika sheria (vibafa nata) umeongezwa. Injini ya utafutaji ya Hyperscan ilitumiwa, ambayo ilifanya iwezekanavyo kutumia mifumo iliyosababishwa haraka na kwa usahihi zaidi kulingana na maneno ya kawaida katika sheria;
  • Imeongeza hali mpya ya ukaguzi wa HTTP ambayo inazingatia hali ya kipindi na inashughulikia 99% ya hali zinazotumika na safu ya majaribio. HTTP Evader. Msimbo wa kutumia HTTP/2 unatengenezwa;
  • Utendaji wa hali ya ukaguzi wa pakiti ya kina imeboreshwa kwa kiasi kikubwa. Imeongeza uwezo wa usindikaji wa pakiti za nyuzi nyingi, ikiruhusu utekelezaji wa nyuzi kadhaa kwa wakati mmoja na vichakataji vya pakiti na kutoa upanuzi wa mstari kulingana na idadi ya cores za CPU;
  • Uhifadhi wa usanidi wa kawaida na meza za sifa zimetekelezwa, ambazo zinashirikiwa kati ya mifumo ndogo tofauti, ambayo imepunguza kwa kiasi kikubwa matumizi ya kumbukumbu kwa kuondokana na kurudia habari;
  • Mfumo mpya wa kurekodi matukio kwa kutumia umbizo la JSON na kuunganishwa kwa urahisi na mifumo ya nje kama vile Elastic Stack;
  • Mpito kwa usanifu wa kawaida, uwezo wa kupanua utendaji kupitia kuunganisha programu-jalizi na kutekeleza mifumo midogo midogo katika mfumo wa programu-jalizi zinazoweza kubadilishwa. Hivi sasa, Plugins mia kadhaa tayari zimetekelezwa kwa Snort 3, zinazofunika maeneo mbalimbali ya maombi, kwa mfano, kuruhusu kuongeza codecs yako mwenyewe, njia za utangulizi, mbinu za ukataji miti, vitendo na chaguo katika sheria;
  • Ugunduzi wa kiotomatiki wa huduma zinazoendeshwa, ukiondoa hitaji la kutaja bandari za mtandao zinazotumika.

Mabadiliko ikilinganishwa na toleo la mwisho la jaribio, ambalo lilichapishwa mnamo 2018:

  • Usaidizi ulioongezwa kwa faili ili kubatilisha kwa haraka mipangilio inayohusiana na usanidi chaguo-msingi;
  • Nambari hutoa uwezo wa kutumia miundo ya C++ iliyofafanuliwa katika kiwango cha C++14 (ujenzi unahitaji mkusanyaji unaotumia C++14);
  • Imeongeza kidhibiti kipya cha VXLAN;
  • Utafutaji ulioboreshwa wa aina za maudhui kwa kutumia utekelezwaji wa algoriti uliosasishwa Boyer-Moore ΠΈ Hyperscan;
  • Mfumo wa ukaguzi wa trafiki wa HTTP/2 umekaribia kuletwa kwa utayari kamili;
  • Kuanzisha kunaharakishwa kwa kutumia nyuzi nyingi kukusanya vikundi vya sheria;
  • Imeongeza utaratibu mpya wa ukataji miti;
  • Ugunduzi ulioboreshwa wa makosa ya Lua na orodha zilizoidhinishwa zilizoboreshwa;
  • Mabadiliko yamefanywa ili kuruhusu upakiaji upya wa mipangilio kwenye nzi;
  • Mfumo wa ukaguzi wa RNA (Real-time Network Awareness) umeongezwa, kukusanya taarifa kuhusu rasilimali, wapangishi, programu na huduma zinazopatikana kwenye mtandao;
  • Ili kurahisisha usanidi, matumizi ya snort_config.lua na SNORT_LUA_PATH yamekatishwa.

Chanzo: opennet.ru

Kuongeza maoni