Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, так же известной как проект Snort++. Работа над Snort 3.0 была начата ещё в 2005 году, но заброшена и возобновлена в прошлом году, после перехода Snort в руки компании Cisco. Новая ветка стала результатом переосмысления концепций и архитектуры Snort, потребовавших переработки из-за невозможности вписать в текущую кодовую базу некоторых идей по усовершенствованию системы. Особенности первого альфа-выпуска Snort 3.0:
Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов; Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов; Использование упрощённой конфигурации с поддержкой скриптинга; Модульная система для подключения базовых компонентов в форме плагинов; Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов; Возможность привязки буферов в правилах (sticky buffers); Система автоматической генерации документации; Улучшенная переносимость на различные платформы. Возможности, которые ожидаются по мере доведения ветки Snort 3.0 до готовности:
Организация совместного доступа к карте сети; Конвейерная обработка пакетов (pipelining); Применение средств аппаратного ускорения обработки пакетов (hardware offload) и механизмов перенаправления трафика (data plane); Переработка критичных модулей, таких как пересборка TCP и интроспекция HTTP; Поддержка режима работы в роли прокси; Упрощение механизмов управления памятью; Создание средств для тестирования компонентов; Доведение функциональности до уровня Snort 2.9.7. Общие концепции построения нового продукта:
Дружественность пользователю: максимальное упрощение изучения и запуска snort. Использование автоматического конфигурирования и уход от ручных настроек портов, памяти и т.п. Встроенная документация и конфигурация. Проверка корректности конфигурации при запуске, без необходимости запуска в тестовом режиме (»-T»); Упрощения языка построения правил, автоматическое определение всех протоколов; Оболочка для управления из командной строки: безопасный доступ с локального хоста, возможность перезагрузки конфигурации, возможность приостановки и возобновления работы детекторов; Многопоточность и ориентация на многоядерные системы с совместным доступом разных обработчиков к единой конфигурации.
© OpenNet
