Компания Cisco анонсировала (http://blogs.cisco.com/security/reintroducing-snort-3-0) готовность для альфа-тестирования (https://www.snort.org/downloads/#snort-3.0) свободной системы предотвращения атак Snort 3.0 (https://www.snort.org/snort3), так же известной как проект Snort++ (https://github.com/snortadmin/snort3). Работа над Snort 3.0 была начата ещё в 2005 году, но заброшена и возобновлена в прошлом году, после перехода Snort в руки компании Cisco. Новая ветка стала результатом переосмысления концепций и архитектуры Snort, потребовавших переработки из-за невозможности вписать в текущую кодовую базу некоторых идей по усовершенствованию системы.
Особенности первого альфа-выпуска Snort 3.0:
- Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов;
- Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов;
- Использование упрощённой конфигурации с поддержкой скриптинга;
- Модульная система для подключения базовых компонентов в форме плагинов;
- Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов;
- Возможность привязки буферов в правилах (sticky buffers);
- Система автоматической генерации документации;
- Улучшенная переносимость на различные платформы.Возможности, которые ожидаются по мере доведения ветки Snort 3.0 до готовности:
- Организация совместного доступа к карте сети;
- Конвейерная обработка пакетов (pipelining);
- Применение средств аппаратного ускорения обработки пакетов (hardware offload) и механизмов перенаправления трафика (data plane);
- Переработка критичных модулей, таких как пересборка TCP и интроспекция HTTP;
- Поддержка режима работы в роли прокси;
- Упрощение механизмов управления памятью;
- Создание средств для тестирования компонентов;
- Доведение функциональности до уровня Snort 2.9.7.Общие концепции построения нового продукта:
- Дружественность пользователю: максимальное упрощение изучения и запуска snort. Использование автоматического конфигурирования и уход от ручных настроек портов, памяти и т.п. Встроенная документация и конфигурация. Проверка корректности конфигурации при запуске, без необходимости запуска в тестовом режиме ("-T");
- Упрощения языка построения правил, автоматическое определение всех протоколов;
- Оболочка для управления из командной строки: безопасный доступ с локального хоста, возможность перезагрузки конфигурации, возможность приостановки и возобновления работы детекторов;
- Многопоточность и ориентация на многоядерные системы с совместным доступом разных обработчиков к единой конфигурации.
URL: http://blog.snort.org/2014/12/introducing-snort-30.html
Новость: http://www.opennet.me/opennews/art.shtml?num=41255
Радует, что Cisco держит данное при покупке Sourcefire обещание форсировать развитие Snort и ClamAV, которые в этом году как на дрожжах крепчают. Честно говоря, думал, что это типичные уверения сообщества для отвода глаз, а на самом деле построят на основе Snort и ClamAV какую-нибудь проприетарщину. Но нет, не только выделили новые ресурсы, но и свои разработки открывать и передавать начали.
Кто сказал, что они не "выпустят какую-нить проприетарщину" на базе этих проектов? Пилить просто так никто не будет.Сабж распознает и предотвращает атаки или только сигнализирует? Или реакции на события надо самому описать скриптами?
Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер, Чекпоинт, Палоальто и тд.
> Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами
> атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор
> в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую
> систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер,
> Чекпоинт, Палоальто и тд.Тебе нужно шашечки или тебе нужно ехать?
> Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами
> атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор
> в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую
> систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер,
> Чекпоинт, Палоальто и тд.Почему не купил ты и не подарил благодарному человечеству, трепло?
Чем лучше сюрикаты?
Suricata на пятки наступает, вот и зашевелились.
suricata только учится ходить, вот и наступает по необытности.
что еще за атаки нового поколения?
Это типа от русских хакеров защита, или китайских )))
А может и не защита, а дырочка для нападения на недемократичные режимы. Копирасты такие копирасты...
Это атаки не такого поколения, как прежде.
да, не только лишь все могут в такие атаки.
Так просто ету штуку не настроить. Лучше использовать комплексную pfsense, например.
> Так просто ету штуку не настроить. Лучше использовать комплексную pfsense, например.Чем лучше?
А лучше тем, что там уже все настроено и есть web интерфейс. Только правила загружай.
Видимо Вы никогда не настраивали ни пфсенс, ни снорт...ну или как "обизянка" работаете по хауту скачаных из интернета.