Snort kündigt Version 3.0 seiner quelloffenen Intrusion-Detection-App an

Snort.org hat Version 3.0 des gleichnamigen Open-Source-Intrusion-Detection-Systems angekündigt und eine Alpha-Version verfügbar gemacht. Zu den Neuerungen zählt eine Multi-Core-Engine mit Multithreading-Unterstützung, um den Durchsatz deutlich zu erhöhen. Die Oberfläche und die für das Festlegen von Regeln benötigte Sprache wurden vereinfacht, was das System leichter zugänglich machen soll. Als finale Version für den Produktiveinsatz ist weiter Snort 2.9.7.0 aktuell.

Snort war ursprünglich von Martin Roesch konzipiert worden, der später Sourcefire gründete, das Netzwerk-Security-Appliances auf Basis von Snort herstellt. Er ist heute CTO dieser Firma, die im Juli 2013 von Cisco aufgekauft wurde.

Der Ankündigung zufolge basiert Snort 3.0 auf einem von Roesch 2005 begonnenen Projekt namens SnortSP. Es handelte sich um einen Versuch, Snort architektonisch umzukrempeln, um es leichter nutzbar und zugleich mächtiger zu machen. Dies erforderte einen von Grund auf neuen Code-Ansatz, der intern als Snort++ bezeichnet wurde. Viele Funktionen dieser Parallelentwicklung stecken aber auch schon in der heutigen Snort-Version – darunter neu laden ohne Neustart, OpenAppId, gzip-Entkomprimierung und IP-Blockierlisten.

Die Multi-Core-Engine von Snort 3 basiert auf einer einzelnen persistenten Konfiguration. Da heute auch einfache und preiswerte Prozessoren mehrere Kerne enthalten, erhöht dies die Reichweite von Snort und verbessert seine Leistung auf preisgünstiger Hardware.

Die Schlüsselkomponenten von Snort 3 lassen sich austauschen. Das bedeutet, dass sie leicht durch Entwicklungen Dritter ersetzt werden können. Dienste erkennt Snort nun automatisch, sodass Ports, Speicher, Argumente und dergleichen nicht mehr konfiguriert werden müssen. Die Konfiguration wird beim Start überprüft, eine Dokumentation automatisch erstellt. Die vereinfachte Sprache fürs Abfassen von Regeln erkennt nun außerdem alle Protokolle selbständig.

Wie Roesch einst in seinem lange nicht aktualisierten Blog Security Sauce mitteilte, gab es 2009 schon einmal eine Betaversion von Snort 3.0. Die damaligen Einträge lassen die Probleme spüren, die zur völligen Neugestaltung des Systems führten. Das Projekt benötigte dafür immerhin fünf Jahre.

Aufgrund der grundlegenden Überarbeitung sind jetzt aber auch besonders gründliche Tests nötig, wie die Entwickler schreiben. Von einem Produktiveinsatz der Alpha wird dringend abgeraten.

Der Quelltext des Projekts ist auf GitHub verfügbar. Diskussionen finden hauptsächlich auf der Mailingliste Snort Developers statt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

9 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago