The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.12.2014 19:35  Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения

Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, также известной как проект Snort++. Работа над Snort 3 начата в 2005 году, но была заброшена. Работы возобновились в 2013 году после перехода Snort в руки компании Cisco. Идеи по усовершенствованию, переосмысление концепции и архитектуры было невозможно вписать в текущую кодовую базу, что привело к созданию новой ветки.

Особенности первого альфа-выпуска Snort 3.0:

  • Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов;
  • Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов;
  • Использование упрощённой конфигурации с поддержкой скриптинга;
  • Модульная система для подключения базовых компонентов в форме плагинов;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов;
  • Возможность привязки буферов в правилах (sticky buffers);
  • Система автоматической генерации документации;
  • Улучшенная переносимость на различные платформы.

Возможности, которые ожидаются по мере доведения ветки Snort 3.0 до готовности:

  • Организация совместного доступа к карте сети;
  • Конвейерная обработка пакетов (pipelining);
  • Применение средств аппаратного ускорения обработки пакетов (hardware offload) и механизмов перенаправления трафика (data plane);
  • Переработка критичных модулей, таких как пересборка TCP и интроспекция HTTP;
  • Поддержка режима работы в роли прокси;
  • Упрощение механизмов управления памятью;
  • Создание средств для тестирования компонентов;
  • Доведение функциональности до уровня Snort 2.9.7.

Общие концепции построения нового продукта:

  • Дружественность пользователю: максимальное упрощение изучения и запуска Snort. Использование автоматического конфигурирования и уход от ручных настроек портов, памяти и т.п. Встроенная документация и конфигурация. Проверка корректности конфигурации при запуске, без необходимости запуска в тестовом режиме ("-T");
  • Упрощения языка построения правил, автоматическое определение всех протоколов;
  • Оболочка для управления из командной строки: безопасный доступ с локального хоста, возможность перезагрузки конфигурации, возможность приостановки и возобновления работы детекторов;
  • Многопоточность и ориентация на многоядерные системы с совместным доступом разных обработчиков к единой конфигурации.


  1. Главная ссылка к новости (http://blog.snort.org/2014/12/...)
  2. OpenNews: Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой OpenAppID
  3. OpenNews: Компания Cisco открыла OpenSOC, платформу для анализа больших объемов трафика
  4. OpenNews: Компания Cisco открыла OpenAppID, систему выявления трафика приложений
  5. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
  6. OpenNews: Релиз системы обнаружения атак Suricata 2.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: snort, ips, ids
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 20:04, 12/12/2014 [ответить] [смотреть все]
  • +6 +/
    Радует, что Cisco держит данное при покупке  Sourcefire обещание форсировать развитие Snort и ClamAV, которые в этом году как на дрожжах крепчают. Честно говоря, думал, что это типичные уверения сообщества для отвода глаз, а на самом деле построят на основе Snort и ClamAV какую-нибудь проприетарщину. Но нет, не только выделили новые ресурсы, но и свои разработки открывать и передавать начали.
     
     
  • 2.5, Аноним, 23:46, 12/12/2014 [^] [ответить] [смотреть все]
  • +/
    Кто сказал, что они не выпустят какую-нить проприетарщину на базе этих проекто... весь текст скрыт [показать]
     
     
  • 3.7, frukt, 00:14, 13/12/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер, Чекпоинт, Палоальто и тд.
     
     
  • 4.11, Аноним, 20:41, 13/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Тебе нужно шашечки или тебе нужно ехать ... весь текст скрыт [показать]
     
  • 4.13, Аноним, 20:42, 13/12/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    Почему не купил ты и не подарил благодарному человечеству, трепло ... весь текст скрыт [показать]
     
  • 1.2, Вата, 20:04, 12/12/2014 [ответить] [смотреть все]  
  • +/
    Чем лучше сюрикаты?
     
  • 1.3, Аноним, 20:08, 12/12/2014 [ответить] [смотреть все]  
  • –1 +/
    Suricata на пятки наступает, вот и зашевелились.
     
     
  • 2.4, grec, 20:19, 12/12/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    suricata только учится ходить, вот и наступает по необытности.
     
  • 1.6, Анони, 23:54, 12/12/2014 [ответить] [смотреть все]  
  • +/
    что еще за атаки нового поколения?
     
     
  • 2.8, count0krsk, 08:39, 13/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Это типа от русских хакеров защита, или китайских )))
    А может и не защита, а дырочка для нападения на недемократичные режимы. Копирасты такие копирасты...
     
  • 2.9, Аноним, 08:55, 13/12/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    Это атаки не такого поколения, как прежде.
     
     
  • 3.15, Аноним, 10:57, 15/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    да, не только лишь все могут в такие атаки.
     
  • 1.10, Anonymous1, 10:48, 13/12/2014 [ответить] [смотреть все]  
  • +1 +/
    Так просто ету штуку не настроить. Лучше использовать комплексную pfsense, например.
     
     
  • 2.12, Аноним, 20:41, 13/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Чем лучше ... весь текст скрыт [показать]
     
  • 1.14, Anonymous1, 13:13, 14/12/2014 [ответить] [смотреть все]  
  • +/
    А лучше тем, что там уже все настроено и есть web интерфейс. Только правила загружай.
     
     
  • 2.16, E4200, 21:55, 15/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Видимо Вы никогда не настраивали ни пфсенс, ни снорт...ну или как "обизянка" работаете по хауту скачаных из интернета.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor