The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Кандидат в релизы системы обнаружения атак Snort 3

24.09.2020 07:49

Компания Cisco объявила о формировании кандидата в релизы полностью переработанной системы предотвращения атак Snort 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.

В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. Добавлена система инспектирования трафика HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано несколько сотен плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.
  • Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH. Добавлена поддержка перезагрузки настроек на лету;
  • В коде обеспечена возможность использования конструкций C++, определённых в стандарте C++14 (для сборки требуется компилятор, поддерживающий C++14);
  • Добавлен новый обработчик VXLAN;
  • Улучшен поиск типов контента по содержимому с использованием обновлённых альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan;
  • Ускорен запуск за счёт использования нескольких потоков для компиляции групп правил;
  • Добавлен новый механизм ведения логов;
  • Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.


  1. Главная ссылка к новости (https://blog.snort.org/2020/09...)
  2. OpenNews: Финальный бета-выпуск системы обнаружения атак Snort 3
  3. OpenNews: Доступна система обнаружения атак Suricata 5.0
  4. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
  5. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  6. OpenNews: Компания Cisco открыла OpenAppID, систему выявления трафика приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53770-snort
Ключевые слова: snort, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:07, 24/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ... системы предотвращения атак Snort 3 ... Для обработки файлов конфигурации используется LuaJIT.

    Сегодня "флагман" сетевой "безопасности" предлагает нам использовать ПО противоречащие концепции W^X.

     
     
  • 2.2, Аноним (1), 08:11, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В старом snort, еще без ++, следуя "высшим стандартам безопасности компании Cisco", каталоги run, log создавались не в init скрипте, а самим бинарем, с последующим сбросом привилегий.
     
     
  • 3.3, mumu (ok), 10:52, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Предположу, что это было изначальное поведение, ещё до покупки циской. А вот плоды работ под крылом циски мы видим как раз сейчас.
     
     
  • 4.10, little Bobby tables (?), 12:41, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Смотря по кодовой базе снорт это типичный проект опенсорса, попавший в корпоративные руки.
    Первые версии снорта что из пары файликов любо дорого читать и смотреть. Комментарии, отступы, размеры функций, всё по феншую.  В нулевых бурный рост исходников по большей части шиткодингом. Авторы сейчас занимают неплохие позиции вплоть до менеджеров в тесле, но по факту - промышленная разработка с явной ориентацией на сроки сдач, кодинг без любви, всё по работе.   В статье небольшая неточность про начало разработки снорта 3 - тот снорт 3, что был начат в 2005, был успешно заброшен. Сейчас речь идет о снорте 3 от циски - второй подход к штанге. И тут тоже не без шиткодинга.
     
     
  • 5.16, TheFotoMag (ok), 15:36, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > вплоть до менеджеров в тесле

    Че таково в етам плахово? В САШ мне предлагают в 20 раз больше, чем в Москве. Так чта пока-пока :)

     
  • 3.5, TheFotoMag (ok), 11:14, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    snort —  рабочий инструмент. Все там есть. А екранчик от ИБМ обойдется тыщ в 6 баксами.
     
     
  • 4.18, Аноним (18), 17:55, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для кого и кобыла невеста, а кому и снорт ips.

    > А екранчик от ИБМ обойдется тыщ в 6 баксами.

    Если твоих денег за ним хранится на 6 баксов - то, конечно, незачем за него платить. А если есть риск потом по суду платить 60 лямов - то конечно же надо шва6одку за6ешплатно, обеими лапами с лопаты и в пасть.
    (Впрочем, для начала неплохо бы научиться отличать ips от фиревола, а ids от ips)

     

  • 1.4, TheFotoMag (ok), 11:11, 24/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поставив tor, я решил дать людям свободу :)

    Репорты snort'a показали, что 99,99% tor трафика — заходы на порносайты :)

     
     
  • 2.6, Аноним (6), 11:39, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Поставив tor, я решил дать людям свободу :)
    >
    > Репорты snort'a показали, что 99,99% tor трафика — заходы на порносайты :)

    Брехло

     
  • 2.7, Аноним (7), 11:47, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Snort вскрывает тор-трафик? Интересно, расскажите как.
     
     
  • 3.8, TheFotoMag (ok), 12:02, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ставишь узел tor, ставишь snort.

    Наслаждаешься результатом. Уставновки ПО УМОЛЧАНИЮ :) Даже не нужно ничего менять :)

    Snort ОТЛИЧНО покзывает, КУДА лезет ТВОЯ машина, на которой выходной узел tor :)

     
     
  • 4.13, Аноним (13), 14:48, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > КУДА лезет ТВОЯ машина, на которой выходной узел tor :)

    при таких вводных и ss это показывает. В общем комент был не про то, что snort крутой, а про общность интересов людей

     
     
  • 5.15, TheFotoMag (ok), 15:33, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ss это показывает

    snort репорты на мыло формирует

     
     
  • 6.17, Аноним (13), 15:54, 24/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это никак не характеризует его возможности по проверке трафика. Скрипт awk тоже может формировать репорты. Не отрицаю, что в snort это будет удобнее, чем писать скрипты самому.

    >>Snort вскрывает тор-трафик? Интересно, расскажите как.

    вот это было бы интересно, но это не ваш случай. С тем же успехом можно поставить сквид и использовать sarg или подобное

     

  • 1.11, cat666 (ok), 13:07, 24/09/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру