Cisco kompaniyasi финальную бета-версию полностью переработанной системы предотвращения атак , также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.
В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
Quyidagi muhim innovatsiyalar amalga oshirildi:
- Soddalashtirilgan sintaksisni taklif qiluvchi va sozlamalarni dinamik ravishda yaratish uchun skriptlardan foydalanishga imkon beruvchi yangi konfiguratsiya tizimiga o'tish amalga oshirildi. LuaJIT konfiguratsiya fayllarini qayta ishlash uchun ishlatiladi. LuaJIT-ga asoslangan plaginlar qoidalar va jurnallar tizimi uchun qo'shimcha variantlarni amalga oshirish bilan ta'minlangan;
- Hujumni aniqlash mexanizmi modernizatsiya qilindi, qoidalar yangilandi va qoidalardagi buferlarni bog'lash qobiliyati (yopishqoq buferlar) qo'shildi. Hyperscan qidiruv tizimidan foydalanildi, bu esa qoidalardagi muntazam iboralar asosida tez va aniqroq ishga tushirilgan naqshlardan foydalanish imkonini berdi;
- HTTP uchun seans holatini hisobga oladigan va test to'plami tomonidan qo'llab-quvvatlanadigan vaziyatlarning 99 foizini qamrab oluvchi yangi introspektsiya rejimi qo'shildi . В разработке находится код для поддержки HTTP/2;
- Chuqur paketlarni tekshirish rejimining ishlashi sezilarli darajada yaxshilandi. Paket protsessorlari bilan bir vaqtning o'zida bir nechta oqimlarni bajarishga imkon beruvchi va protsessor yadrolari soniga qarab chiziqli miqyoslilikni ta'minlaydigan ko'p tarmoqli paketlarni qayta ishlash qobiliyati qo'shildi;
- Turli quyi tizimlar o'rtasida taqsimlanadigan umumiy konfiguratsiyani saqlash va atribut jadvallari amalga oshirildi, bu ma'lumotlarning takrorlanishini bartaraf etish orqali xotira sarfini sezilarli darajada kamaytirdi;
- JSON formatidan foydalanadigan va Elastic Stack kabi tashqi platformalar bilan osongina integratsiyalangan yangi hodisalar jurnali tizimi;
- Modulli arxitekturaga o'tish, plaginlarni ulash va almashtiriladigan plaginlar ko'rinishidagi asosiy quyi tizimlarni amalga oshirish orqali funksionallikni kengaytirish qobiliyati. Hozirda Snort 3 uchun bir necha yuzlab plaginlar allaqachon amalga oshirilgan bo'lib, ular dasturning turli sohalarini qamrab oladi, masalan, qoidalarga o'z kodeklaringizni, introspektsiya rejimlarini, jurnalga yozish usullarini, harakatlarni va variantlarni qo'shish imkonini beradi;
- Ishlayotgan xizmatlarni avtomatik aniqlash, faol tarmoq portlarini qo'lda belgilash zaruratini yo'q qiladi.
Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:
- Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
- Kod C++ 14 standartida belgilangan C++ konstruksiyalaridan foydalanish imkoniyatini beradi (qurilish uchun C++14 ni qo‘llab-quvvatlaydigan kompilyator kerak);
- Yangi VXLAN ishlov beruvchisi qo'shildi;
- Yangilangan alternativ algoritmlardan foydalangan holda kontent turlarini qidirish yaxshilandi и ;
- Практически доведена до полной готовности система инспектирования трафика HTTP/2;
- Qoidalar guruhlarini kompilyatsiya qilish uchun bir nechta ish zarralari yordamida ishga tushirish tezlashadi;
- Yangi ro'yxatga olish mexanizmi qo'shildi;
- Улучшено определение ошибок Lua и оптимизирована работа белых списков;
- Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
- Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
- Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
Manba: opennet.ru