Snort kündigt Version 3.0 seiner quelloffenen Intrusion-Detection-App an

Snort.org hat Version 3.0 des gleichnamigen Open-Source-Intrusion-Detection-Systems angekündigt und eine Alpha-Version verfügbar gemacht. Zu den Neuerungen zählt eine Multi-Core-Engine mit Multithreading-Unterstützung, um den Durchsatz deutlich zu erhöhen. Die Oberfläche und die für das Festlegen von Regeln benötigte Sprache wurden vereinfacht, was das System leichter zugänglich machen soll. Als finale Version für den Produktiveinsatz ist weiter Snort 2.9.7.0 aktuell.

Snort war ursprünglich von Martin Roesch konzipiert worden, der später Sourcefire gründete, das Netzwerk-Security-Appliances auf Basis von Snort herstellt. Er ist heute CTO dieser Firma, die im Juli 2013 von Cisco aufgekauft wurde.

Der Ankündigung zufolge basiert Snort 3.0 auf einem von Roesch 2005 begonnenen Projekt namens SnortSP. Es handelte sich um einen Versuch, Snort architektonisch umzukrempeln, um es leichter nutzbar und zugleich mächtiger zu machen. Dies erforderte einen von Grund auf neuen Code-Ansatz, der intern als Snort++ bezeichnet wurde. Viele Funktionen dieser Parallelentwicklung stecken aber auch schon in der heutigen Snort-Version – darunter neu laden ohne Neustart, OpenAppId, gzip-Entkomprimierung und IP-Blockierlisten.

Die Multi-Core-Engine von Snort 3 basiert auf einer einzelnen persistenten Konfiguration. Da heute auch einfache und preiswerte Prozessoren mehrere Kerne enthalten, erhöht dies die Reichweite von Snort und verbessert seine Leistung auf preisgünstiger Hardware.

Die Schlüsselkomponenten von Snort 3 lassen sich austauschen. Das bedeutet, dass sie leicht durch Entwicklungen Dritter ersetzt werden können. Dienste erkennt Snort nun automatisch, sodass Ports, Speicher, Argumente und dergleichen nicht mehr konfiguriert werden müssen. Die Konfiguration wird beim Start überprüft, eine Dokumentation automatisch erstellt. Die vereinfachte Sprache fürs Abfassen von Regeln erkennt nun außerdem alle Protokolle selbständig.

Wie Roesch einst in seinem lange nicht aktualisierten Blog Security Sauce mitteilte, gab es 2009 schon einmal eine Betaversion von Snort 3.0. Die damaligen Einträge lassen die Probleme spüren, die zur völligen Neugestaltung des Systems führten. Das Projekt benötigte dafür immerhin fünf Jahre.

Aufgrund der grundlegenden Überarbeitung sind jetzt aber auch besonders gründliche Tests nötig, wie die Entwickler schreiben. Von einem Produktiveinsatz der Alpha wird dringend abgeraten.

Der Quelltext des Projekts ist auf GitHub verfügbar. Diskussionen finden hauptsächlich auf der Mailingliste Snort Developers statt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago