Cisco Şirketi Tamamen yeniden tasarlanmış bir saldırı önleme sistemi için bir sürüm adayının geliştirilmesi üzerine Snort++ projesi olarak da bilinen ve 2005 yılından bu yana aralıklı olarak üzerinde çalışılan bir proje. Kararlı sürümün bir ay içerisinde yayınlanması planlanıyor.
Snort 3 şubesinde ürün konsepti tamamen yeniden düşünülerek mimarisi yeniden tasarlandı. Snort 3'ün ana geliştirme alanları arasında: Snort'un kurulumunun ve çalıştırılmasının basitleştirilmesi, konfigürasyonun otomasyonu, kuralların oluşturulması için dilin basitleştirilmesi, tüm protokollerin otomatik tespiti, komut satırından kontrol için bir kabuk sağlanması, Snort'un aktif kullanımı Farklı işlemcilerin tek bir konfigürasyona ortak erişimi ile çoklu iş parçacığı.
Aşağıdaki önemli yenilikler hayata geçirilmiştir:
- Basitleştirilmiş bir sözdizimi sunan ve ayarları dinamik olarak oluşturmak için komut dosyalarının kullanılmasına olanak tanıyan yeni bir yapılandırma sistemine geçiş yapıldı. LuaJIT, yapılandırma dosyalarını işlemek için kullanılır. LuaJIT tabanlı eklentiler, kurallar ve bir kayıt sistemi için ek seçeneklerin uygulanmasıyla sağlanır;
- Saldırı tespit motoru modernize edildi, kurallar güncellendi ve kurallardaki arabellekleri (yapışkan arabellekler) bağlama yeteneği eklendi. Kurallardaki düzenli ifadelere dayalı olarak daha hızlı ve daha doğru şekilde tetiklenen kalıpların kullanılmasını mümkün kılan Hyperscan arama motoru kullanıldı;
- HTTP için oturum durumunu dikkate alan ve test paketi tarafından desteklenen durumların %99'unu kapsayan yeni bir iç gözlem modu eklendi . HTTP/2 trafik inceleme sistemi eklendi;
- Derin paket inceleme modunun performansı önemli ölçüde iyileştirildi. Paket işlemcilerle birden fazla iş parçacığının eşzamanlı yürütülmesine olanak tanıyan ve CPU çekirdeği sayısına bağlı olarak doğrusal ölçeklenebilirlik sağlayan çok iş parçacıklı paket işleme yeteneği eklendi;
- Farklı alt sistemler arasında paylaşılan, bilgilerin tekrarını ortadan kaldırarak bellek tüketimini önemli ölçüde azaltan ortak bir yapılandırma depolama alanı ve öznitelik tabloları uygulandı;
- JSON formatını kullanan ve Elastic Stack gibi harici platformlarla kolayca entegre olabilen yeni olay kayıt sistemi;
- Modüler bir mimariye geçiş, eklentileri bağlayarak ve önemli alt sistemleri değiştirilebilir eklentiler biçiminde uygulayarak işlevselliği genişletme yeteneği. Şu anda, Snort 3 için çeşitli uygulama alanlarını kapsayan yüzlerce eklenti halihazırda uygulanmıştır; örneğin, kurallara kendi codec bileşenlerinizi, iç gözlem modlarınızı, kayıt yöntemlerini, eylemlerinizi ve seçeneklerinizi eklemenize olanak tanır;
- Çalışan hizmetlerin otomatik olarak algılanması, etkin ağ bağlantı noktalarını manuel olarak belirleme ihtiyacını ortadan kaldırır.
- Varsayılan yapılandırmaya göre ayarları hızla geçersiz kılmak için dosyalara yönelik destek eklendi. Yapılandırmayı basitleştirmek için snort_config.lua ve SNORT_LUA_PATH kullanımına son verildi.
Ayarların anında yeniden yüklenmesi için destek eklendi; - Kod, C++14 standardında tanımlanan C++ yapılarını kullanma yeteneği sağlar (derleme, C++14'ü destekleyen bir derleyici gerektirir);
- Yeni VXLAN işleyicisi eklendi;
- Güncellenmiş alternatif algoritma uygulamaları kullanılarak içeriğe göre içerik türleri için geliştirilmiş arama и ;
- Kural gruplarını derlemek için birden çok iş parçacığı kullanılarak başlatma hızlandırılır;
- Yeni bir kayıt mekanizması eklendi;
- Ağda mevcut olan kaynaklar, ana bilgisayarlar, uygulamalar ve hizmetler hakkında bilgi toplayan bir RNA (Gerçek Zamanlı Ağ Farkındalığı) inceleme sistemi eklendi.
Kaynak: opennet.ru