Кандидат в релизы системы обнаружения атак Snort 3

24.09.2020 07:49

Компания Cisco объявила о формировании кандидата в релизы полностью переработанной системы предотвращения атак Snort 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.

В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Реализованы следующие значительные новшества:

Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. Добавлена система инспектирования трафика HTTP/2;
Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано несколько сотен плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.
Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH. Добавлена поддержка перезагрузки настроек на лету;
В коде обеспечена возможность использования конструкций C++, определённых в стандарте C++14 (для сборки требуется компилятор, поддерживающий C++14);
Добавлен новый обработчик VXLAN;
Улучшен поиск типов контента по содержимому с использованием обновлённых альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan;
Ускорен запуск за счёт использования нескольких потоков для компиляции групп правил;
Добавлен новый механизм ведения логов;
Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53770-snort

Ключевые слова: snort, ids, ips

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (1), 08:07, 24/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> ... системы предотвращения атак Snort 3 ... Для обработки файлов конфигурации используется LuaJIT. Сегодня "флагман" сетевой "безопасности" предлагает нам использовать ПО противоречащие концепции W^X.

2.2, Аноним (1), 08:11, 24/09/2020 [^] [^^] [^^^] [ответить]	–1 +/–
В старом snort, еще без ++, следуя "высшим стандартам безопасности компании Cisco", каталоги run, log создавались не в init скрипте, а самим бинарем, с последующим сбросом привилегий.

3.3, mumu (ok), 10:52, 24/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Предположу, что это было изначальное поведение, ещё до покупки циской. А вот плоды работ под крылом циски мы видим как раз сейчас.

4.10, little Bobby tables (?), 12:41, 24/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Смотря по кодовой базе снорт это типичный проект опенсорса, попавший в корпоративные руки. Первые версии снорта что из пары файликов любо дорого читать и смотреть. Комментарии, отступы, размеры функций, всё по феншую. В нулевых бурный рост исходников по большей части шиткодингом. Авторы сейчас занимают неплохие позиции вплоть до менеджеров в тесле, но по факту - промышленная разработка с явной ориентацией на сроки сдач, кодинг без любви, всё по работе. В статье небольшая неточность про начало разработки снорта 3 - тот снорт 3, что был начат в 2005, был успешно заброшен. Сейчас речь идет о снорте 3 от циски - второй подход к штанге. И тут тоже не без шиткодинга.

5.16, TheFotoMag (ok), 15:36, 24/09/2020 [^] [^^] [^^^] [ответить]	+3 +/–
> вплоть до менеджеров в тесле Че таково в етам плахово? В САШ мне предлагают в 20 раз больше, чем в Москве. Так чта пока-пока :)

3.5, TheFotoMag (ok), 11:14, 24/09/2020 [^] [^^] [^^^] [ответить]	+/–
snort — рабочий инструмент. Все там есть. А екранчик от ИБМ обойдется тыщ в 6 баксами.

4.18, Аноним (18), 17:55, 24/09/2020 [^] [^^] [^^^] [ответить]

+/–

Для кого и кобыла невеста, а кому и снорт ips.

> А екранчик от ИБМ обойдется тыщ в 6 баксами.

Если твоих денег за ним хранится на 6 баксов - то, конечно, незачем за него платить. А если есть риск потом по суду платить 60 лямов - то конечно же надо шва6одку за6ешплатно, обеими лапами с лопаты и в пасть.
(Впрочем, для начала неплохо бы научиться отличать ips от фиревола, а ids от ips)

1.4, TheFotoMag (ok), 11:11, 24/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поставив tor, я решил дать людям свободу :) Репорты snort'a показали, что 99,99% tor трафика — заходы на порносайты :)

2.6, Аноним (6), 11:39, 24/09/2020 [^] [^^] [^^^] [ответить]	+6 +/–
> Поставив tor, я решил дать людям свободу :) > > Репорты snort'a показали, что 99,99% tor трафика — заходы на порносайты :) Брехло

2.7, Аноним (7), 11:47, 24/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Snort вскрывает тор-трафик? Интересно, расскажите как.

3.8, TheFotoMag (ok), 12:02, 24/09/2020 [^] [^^] [^^^] [ответить]

+/–

Ставишь узел tor, ставишь snort.

Наслаждаешься результатом. Уставновки ПО УМОЛЧАНИЮ :) Даже не нужно ничего менять :)

Snort ОТЛИЧНО покзывает, КУДА лезет ТВОЯ машина, на которой выходной узел tor :)

4.13, Аноним (13), 14:48, 24/09/2020 [^] [^^] [^^^] [ответить]	+1 +/–
> КУДА лезет ТВОЯ машина, на которой выходной узел tor :) при таких вводных и ss это показывает. В общем комент был не про то, что snort крутой, а про общность интересов людей

5.15, TheFotoMag (ok), 15:33, 24/09/2020 [^] [^^] [^^^] [ответить]	+/–
> ss это показывает snort репорты на мыло формирует

6.17, Аноним (13), 15:54, 24/09/2020 [^] [^^] [^^^] [ответить]

+1 +/–

это никак не характеризует его возможности по проверке трафика. Скрипт awk тоже может формировать репорты. Не отрицаю, что в snort это будет удобнее, чем писать скрипты самому.

>>Snort вскрывает тор-трафик? Интересно, расскажите как.

вот это было бы интересно, но это не ваш случай. С тем же успехом можно поставить сквид и использовать sarg или подобное

1.11, cat666 (ok), 13:07, 24/09/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

2.12, microsoft (?), 13:15, 24/09/2020 Скрыто ботом-модератором [к модератору]	+2 +/–

3.14, Аноним (13), 14:49, 24/09/2020 Скрыто ботом-модератором [к модератору]	+2 +/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: