Snort.org hat Version 3.0 des gleichnamigen Open-Source-Intrusion-Detection-Systems angekündigt und eine Alpha-Version verfügbar gemacht. Zu den Neuerungen zählt eine Multi-Core-Engine mit Multithreading-Unterstützung, um den Durchsatz deutlich zu erhöhen. Die Oberfläche und die für das Festlegen von Regeln benötigte Sprache wurden vereinfacht, was das System leichter zugänglich machen soll. Als finale Version für den Produktiveinsatz ist weiter Snort 2.9.7.0 aktuell.
Snort war ursprünglich von Martin Roesch konzipiert worden, der später Sourcefire gründete, das Netzwerk-Security-Appliances auf Basis von Snort herstellt. Er ist heute CTO dieser Firma, die im Juli 2013 von Cisco aufgekauft wurde.
Der Ankündigung zufolge basiert Snort 3.0 auf einem von Roesch 2005 begonnenen Projekt namens SnortSP. Es handelte sich um einen Versuch, Snort architektonisch umzukrempeln, um es leichter nutzbar und zugleich mächtiger zu machen. Dies erforderte einen von Grund auf neuen Code-Ansatz, der intern als Snort++ bezeichnet wurde. Viele Funktionen dieser Parallelentwicklung stecken aber auch schon in der heutigen Snort-Version – darunter neu laden ohne Neustart, OpenAppId, gzip-Entkomprimierung und IP-Blockierlisten.
Die Multi-Core-Engine von Snort 3 basiert auf einer einzelnen persistenten Konfiguration. Da heute auch einfache und preiswerte Prozessoren mehrere Kerne enthalten, erhöht dies die Reichweite von Snort und verbessert seine Leistung auf preisgünstiger Hardware.
Die Schlüsselkomponenten von Snort 3 lassen sich austauschen. Das bedeutet, dass sie leicht durch Entwicklungen Dritter ersetzt werden können. Dienste erkennt Snort nun automatisch, sodass Ports, Speicher, Argumente und dergleichen nicht mehr konfiguriert werden müssen. Die Konfiguration wird beim Start überprüft, eine Dokumentation automatisch erstellt. Die vereinfachte Sprache fürs Abfassen von Regeln erkennt nun außerdem alle Protokolle selbständig.
Wie Roesch einst in seinem lange nicht aktualisierten Blog Security Sauce mitteilte, gab es 2009 schon einmal eine Betaversion von Snort 3.0. Die damaligen Einträge lassen die Probleme spüren, die zur völligen Neugestaltung des Systems führten. Das Projekt benötigte dafür immerhin fünf Jahre.
Aufgrund der grundlegenden Überarbeitung sind jetzt aber auch besonders gründliche Tests nötig, wie die Entwickler schreiben. Von einem Produktiveinsatz der Alpha wird dringend abgeraten.
Der Quelltext des Projekts ist auf GitHub verfügbar. Diskussionen finden hauptsächlich auf der Mailingliste Snort Developers statt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…