Hace varios meses compartimos aquí en el blog la noticia de la liberación de la version beta de Snort 3 y fue hasta hace apenas unos días que ya se tiene una version RC para esta nueva rama de la aplicación.
Ya que Cisco anuncio la formación de un candidato de lanzamiento para el sistema de prevención de ataques Snort 3 (también conocido como el proyecto Snort ++), en el que se ha estado trabajando de forma intermitente desde 2005. Está previsto que la versión estable se publique dentro de un mes.
Snort 3 ha repensado completamente el concepto de producto y rediseñado la arquitectura. Entre las áreas clave de desarrollo para Snort 3: simplificar la configuración y el lanzamiento de Snort, automatizar la configuración, simplificar el lenguaje de creación de reglas, detectar automáticamente todos los protocolos, proporcionar un shell para el control de la línea de comandos, uso activo
Snort tiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos.de subprocesos múltiples con acceso compartido de diferentes controladores a una sola configuración.
¿Qué cambios se presentan en la RC?
Se ha realizado una transición a un nuevo sistema de configuración, que ofrece una sintaxis simplificada y permite el uso de scripts para generar configuraciones dinámicamente. LuaJIT se utiliza para procesar archivos de configuración. Los complementos basados en LuaJIT cuentan con opciones adicionales para reglas y un sistema de registro.
Se ha modernizado el motor para detectar ataques, se han actualizado las reglas, se ha agregado la capacidad de vincular búferes en las reglas (búferes adhesivos). Se ha utilizado el motor de búsqueda Hyperscan, que hizo posible utilizar patrones activados de forma rápida y precisa basados en expresiones regulares en las reglas.
Se agregó un nuevo modo de introspección para HTTP que tiene estado de sesión y cubre el 99% de las situaciones admitidas por el conjunto de pruebas HTTP Evader. Sistema de inspección agregado para tráfico HTTP / 2.
El rendimiento del modo de inspección profunda de paquetes se ha mejorado significativamente. Se agregó la capacidad de procesamiento de paquetes multiproceso, lo que permite la ejecución simultánea de múltiples subprocesos con controladores de paquetes y brinda escalabilidad lineal según la cantidad de núcleos de CPU.
Se ha implementado un almacenamiento común de tablas de configuración y atributos, el cual es compartido en diferentes subsistemas, lo que ha permitido reducir significativamente el consumo de memoria al eliminar la duplicación de información.
Nuevo sistema de registro de eventos que usa formato JSON y se integra fácilmente con plataformas externas como Elastic Stack.
Transición a una arquitectura modular, la capacidad de ampliar la funcionalidad a través de la conexión de complementos y la implementación de subsistemas clave en forma de complementos reemplazables. Actualmente, varios cientos de complementos ya están implementados para Snort 3, que cubren varias áreas de aplicación, por ejemplo, permitiéndole agregar sus propios códecs, modos de introspección, métodos de registro, acciones y opciones en las reglas.
De los demás cambios que se destacan:
- Detección automática de servicios en ejecución, eliminando la necesidad de especificar manualmente puertos de red activos.
- Se agregó soporte para archivos para anular rápidamente la configuración relativa a la configuración predeterminada. Se interrumpió el uso de snort_config.lua y SNORT_LUA_PATH para simplificar la configuración. Se agregó soporte para recargar configuraciones sobre la marcha;
- El código proporciona la capacidad de utilizar las construcciones de C++ definidas en el estándar C++ 14 (el ensamblado requiere un compilador que admita C++ 14).
- Se agregó un nuevo controlador VXLAN.
- Búsqueda mejorada de tipos de contenido por contenido utilizando implementaciones alternativas actualizadas de los algoritmos de Boyer-Moore e Hyperscan.
- Lanzamiento acelerado mediante el uso de varios subprocesos para compilar grupos de reglas;
- Se agregó un nuevo mecanismo de registro.
- Se ha agregado el sistema de inspección RNA (Real-time Network Awareness), que recopila información sobre recursos, hosts, aplicaciones y servicios disponibles en la red.
Fuente: snort.org | desdelinux
