Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения

Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, так же известной как проект Snort++. Новая ветка стала результатом переосмысления концепций и архитектуры Snort, потребовавших переработки, из-за невозможности вписать в текущую кодовую базу некоторых идей по усовершенствованию системы.

Особенности первого альфа-выпуска Snort 3.0:

  • Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов;
  • Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов;
  • Использование упрощённой конфигурации с поддержкой скриптинга;
  • Модульная система для подключения базовых компонентов в форме плагинов;
  • Автоматическое определение работающих служб, избавляющие от необходимости ручного указания активных сетевых портов;
  • Возможность привязки буферов в правилах (sticky buffers);
  • Система автоматической генерации документации;
  • Улучшенная переносимость на различные платформы.

Возможности, которые ожидаются по мере развития ветки Snort 3.0:

  • Организация совместного доступа к карте сети;
  • Конвейерная обработка пакетов (pipelining);
  • Применение средств аппаратного ускорения обработки пакетов (hardware offload) и механизмов перенаправления трафика (data plane);
  • Переработка критичных модулей, таких как пересборка TCP и интроспекция HTTP;
  • Поддержка режима работы в роли прокси;
  • Упрощение механизмов управления памятью;
  • Создание средств для тестирования компонентов;
  • Доведение функциональности до уровня Snort 2.9.7.

Общие концепции построения нового продукта:

  • Дружественность пользователю: максимальное упрощение изучения и запуска snort. Использования автоматического конфигурирования и уход от ручных настроек портов, памяти и т.п. Встроенная документация и конфигурация. Проверка корректности конфигурации при запуске, без необходимости запуска в тестовом режиме ("-T");
  • Упрощения языка построения правил, автоматическое определение всех протоколов;
  • Оболочка для управления из командной строки: безопасный доступ с локального хоста, возможность перезагрузки конфигурации, возможность приостановки и возобновления работы детекторов;
  • Многопоточность и ориентация на многоядерные системы с совместным доступом разных обработчиков к единой конфигурации.


Источник:
http://www.opennet.ru/opennews/art.shtml?num=41255

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>