The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения

12.12.2014 19:35

Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, также известной как проект Snort++. Работа над Snort 3 начата в 2005 году, но была заброшена. Работы возобновились в 2013 году после перехода Snort в руки компании Cisco. Идеи по усовершенствованию, переосмысление концепции и архитектуры было невозможно вписать в текущую кодовую базу, что привело к созданию новой ветки.

Особенности первого альфа-выпуска Snort 3.0:

  • Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов;
  • Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов;
  • Использование упрощённой конфигурации с поддержкой скриптинга;
  • Модульная система для подключения базовых компонентов в форме плагинов;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов;
  • Возможность привязки буферов в правилах (sticky buffers);
  • Система автоматической генерации документации;
  • Улучшенная переносимость на различные платформы.

Возможности, которые ожидаются по мере доведения ветки Snort 3.0 до готовности:

  • Организация совместного доступа к карте сети;
  • Конвейерная обработка пакетов (pipelining);
  • Применение средств аппаратного ускорения обработки пакетов (hardware offload) и механизмов перенаправления трафика (data plane);
  • Переработка критичных модулей, таких как пересборка TCP и интроспекция HTTP;
  • Поддержка режима работы в роли прокси;
  • Упрощение механизмов управления памятью;
  • Создание средств для тестирования компонентов;
  • Доведение функциональности до уровня Snort 2.9.7.

Общие концепции построения нового продукта:

  • Дружественность пользователю: максимальное упрощение изучения и запуска Snort. Использование автоматического конфигурирования и уход от ручных настроек портов, памяти и т.п. Встроенная документация и конфигурация. Проверка корректности конфигурации при запуске, без необходимости запуска в тестовом режиме ("-T");
  • Упрощения языка построения правил, автоматическое определение всех протоколов;
  • Оболочка для управления из командной строки: безопасный доступ с локального хоста, возможность перезагрузки конфигурации, возможность приостановки и возобновления работы детекторов;
  • Многопоточность и ориентация на многоядерные системы с совместным доступом разных обработчиков к единой конфигурации.


  1. Главная ссылка к новости (http://blog.snort.org/2014/12/...)
  2. OpenNews: Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой OpenAppID
  3. OpenNews: Компания Cisco открыла OpenSOC, платформу для анализа больших объемов трафика
  4. OpenNews: Компания Cisco открыла OpenAppID, систему выявления трафика приложений
  5. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
  6. OpenNews: Релиз системы обнаружения атак Suricata 2.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41255-snort
Ключевые слова: snort, ips, ids
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:04, 12/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Радует, что Cisco держит данное при покупке  Sourcefire обещание форсировать развитие Snort и ClamAV, которые в этом году как на дрожжах крепчают. Честно говоря, думал, что это типичные уверения сообщества для отвода глаз, а на самом деле построят на основе Snort и ClamAV какую-нибудь проприетарщину. Но нет, не только выделили новые ресурсы, но и свои разработки открывать и передавать начали.
     
     
  • 2.5, Аноним (-), 23:46, 12/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Кто сказал, что они не "выпустят какую-нить проприетарщину" на базе этих проектов? Пилить просто так никто не будет.

    Сабж распознает и предотвращает атаки или только сигнализирует? Или реакции на события надо самому описать скриптами?

     
     
  • 3.7, frukt (?), 00:14, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер, Чекпоинт, Палоальто и тд.
     
     
  • 4.11, Аноним (-), 20:41, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами
    > атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор
    > в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую
    > систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер,
    > Чекпоинт, Палоальто и тд.

    Тебе нужно шашечки или тебе нужно ехать?

     
  • 4.13, Аноним (-), 20:42, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    > Допилят движок и станут продавать платную подписку на обновляемые пакеты с сигнатурами
    > атак, вирусов, доступ к спискам вредоносных URL, IP и тп. Упор
    > в аппаратном ускорении сделают на родные железяки и получат гибкую масштабируемую
    > систему с поддержкой сообщества. Профит и выход на рынки занятые Джунипер,
    > Чекпоинт, Палоальто и тд.

    Почему не купил ты и не подарил благодарному человечеству, трепло?

     

  • 1.2, Вата (?), 20:04, 12/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Чем лучше сюрикаты?
     
  • 1.3, Аноним (-), 20:08, 12/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Suricata на пятки наступает, вот и зашевелились.
     
     
  • 2.4, grec (?), 20:19, 12/12/2014 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    suricata только учится ходить, вот и наступает по необытности.
     

  • 1.6, Анони (?), 23:54, 12/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    что еще за атаки нового поколения?
     
     
  • 2.8, count0krsk (ok), 08:39, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Это типа от русских хакеров защита, или китайских )))
    А может и не защита, а дырочка для нападения на недемократичные режимы. Копирасты такие копирасты...
     
  • 2.9, Аноним (-), 08:55, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    Это атаки не такого поколения, как прежде.
     
     
  • 3.15, Аноним (-), 10:57, 15/12/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    да, не только лишь все могут в такие атаки.
     

  • 1.10, Anonymous1 (?), 10:48, 13/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Так просто ету штуку не настроить. Лучше использовать комплексную pfsense, например.
     
     
  • 2.12, Аноним (-), 20:41, 13/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Так просто ету штуку не настроить. Лучше использовать комплексную pfsense, например.

    Чем лучше?

     

  • 1.14, Anonymous1 (?), 13:13, 14/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А лучше тем, что там уже все настроено и есть web интерфейс. Только правила загружай.
     
     
  • 2.16, E4200 (?), 21:55, 15/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Видимо Вы никогда не настраивали ни пфсенс, ни снорт...ну или как "обизянка" работаете по хауту скачаных из интернета.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру