Cisco Şirketi Tamamen yeniden tasarlanan saldırı önleme sisteminin son beta sürümü Snort++ projesi olarak da bilinen ve 2005 yılından bu yana aralıklı olarak üzerinde çalışılan bir proje. Bu yılın sonlarında bir sürüm adayının yayınlanması planlanıyor.
Yeni şubede ürün konsepti tamamen yeniden düşünülerek mimari yeniden tasarlandı. Yeni bir şube hazırlanırken vurgulanan alanlar arasında Snort'un kurulumunun ve başlatılmasının basitleştirilmesi, konfigürasyonun otomasyonu, kuralların oluşturulması için dilin basitleştirilmesi, tüm protokollerin otomatik tespiti, komuttan kontrol için bir kabuk sağlanması vardı. hat, farklı işlemcilerin tek konfigürasyona ortak erişimi ile çoklu iş parçacığının aktif kullanımı.
Aşağıdaki önemli yenilikler hayata geçirilmiştir:
- Basitleştirilmiş bir sözdizimi sunan ve ayarları dinamik olarak oluşturmak için komut dosyalarının kullanılmasına olanak tanıyan yeni bir yapılandırma sistemine geçiş yapıldı. LuaJIT, yapılandırma dosyalarını işlemek için kullanılır. LuaJIT tabanlı eklentiler, kurallar ve bir kayıt sistemi için ek seçeneklerin uygulanmasıyla sağlanır;
- Saldırı tespit motoru modernize edildi, kurallar güncellendi ve kurallardaki arabellekleri (yapışkan arabellekler) bağlama yeteneği eklendi. Kurallardaki düzenli ifadelere dayalı olarak daha hızlı ve daha doğru şekilde tetiklenen kalıpların kullanılmasını mümkün kılan Hyperscan arama motoru kullanıldı;
- HTTP için oturum durumunu dikkate alan ve test paketi tarafından desteklenen durumların %99'unu kapsayan yeni bir iç gözlem modu eklendi . HTTP/2'yi destekleyecek kod geliştirme aşamasındadır;
- Derin paket inceleme modunun performansı önemli ölçüde iyileştirildi. Paket işlemcilerle birden fazla iş parçacığının eşzamanlı yürütülmesine olanak tanıyan ve CPU çekirdeği sayısına bağlı olarak doğrusal ölçeklenebilirlik sağlayan çok iş parçacıklı paket işleme yeteneği eklendi;
- Farklı alt sistemler arasında paylaşılan, bilgilerin tekrarını ortadan kaldırarak bellek tüketimini önemli ölçüde azaltan ortak bir yapılandırma depolama alanı ve öznitelik tabloları uygulandı;
- JSON formatını kullanan ve Elastic Stack gibi harici platformlarla kolayca entegre olabilen yeni olay kayıt sistemi;
- Modüler bir mimariye geçiş, eklentileri bağlayarak ve önemli alt sistemleri değiştirilebilir eklentiler biçiminde uygulayarak işlevselliği genişletme yeteneği. Şu anda, Snort 3 için çeşitli uygulama alanlarını kapsayan yüzlerce eklenti halihazırda uygulanmıştır; örneğin, kurallara kendi codec bileşenlerinizi, iç gözlem modlarınızı, kayıt yöntemlerini, eylemlerinizi ve seçeneklerinizi eklemenize olanak tanır;
- Çalışan hizmetlerin otomatik olarak algılanması, etkin ağ bağlantı noktalarını manuel olarak belirleme ihtiyacını ortadan kaldırır.
2018 yılında yayınlanan son test sürümüne göre yapılan değişiklikler:
- Varsayılan yapılandırmaya göre ayarları hızla geçersiz kılmak için dosyalara yönelik destek eklendi;
- Kod, C++14 standardında tanımlanan C++ yapılarını kullanma yeteneği sağlar (derleme, C++14'ü destekleyen bir derleyici gerektirir);
- Yeni VXLAN işleyicisi eklendi;
- Güncellenmiş alternatif algoritma uygulamaları kullanılarak içeriğe göre içerik türleri için geliştirilmiş arama и ;
- HTTP/2 trafik inceleme sistemi neredeyse tamamen hazır hale getirildi;
- Kural gruplarını derlemek için birden çok iş parçacığı kullanılarak başlatma hızlandırılır;
- Yeni bir kayıt mekanizması eklendi;
- Lua hatalarının iyileştirilmiş tespiti ve optimize edilmiş beyaz listeler;
- Ayarların anında yeniden yüklenmesine izin verecek değişiklikler yapıldı;
- Ağda mevcut olan kaynaklar, ana bilgisayarlar, uygulamalar ve hizmetler hakkında bilgi toplayan bir RNA (Gerçek Zamanlı Ağ Farkındalığı) inceleme sistemi eklendi;
- Yapılandırmayı basitleştirmek için snort_config.lua ve SNORT_LUA_PATH kullanımına son verildi.
Kaynak: opennet.ru