Snort kündigt Version 3.0 seiner quelloffenen Intrusion-Detection-App an

Snort.org hat Version 3.0 des gleichnamigen Open-Source-Intrusion-Detection-Systems angekündigt und eine Alpha-Version verfügbar gemacht. Zu den Neuerungen zählt eine Multi-Core-Engine mit Multithreading-Unterstützung, um den Durchsatz deutlich zu erhöhen. Die Oberfläche und die für das Festlegen von Regeln benötigte Sprache wurden vereinfacht, was das System leichter zugänglich machen soll. Als finale Version für den Produktiveinsatz ist weiter Snort 2.9.7.0 aktuell.

Snort war ursprünglich von Martin Roesch konzipiert worden, der später Sourcefire gründete, das Netzwerk-Security-Appliances auf Basis von Snort herstellt. Er ist heute CTO dieser Firma, die im Juli 2013 von Cisco aufgekauft wurde.

Der Ankündigung zufolge basiert Snort 3.0 auf einem von Roesch 2005 begonnenen Projekt namens SnortSP. Es handelte sich um einen Versuch, Snort architektonisch umzukrempeln, um es leichter nutzbar und zugleich mächtiger zu machen. Dies erforderte einen von Grund auf neuen Code-Ansatz, der intern als Snort++ bezeichnet wurde. Viele Funktionen dieser Parallelentwicklung stecken aber auch schon in der heutigen Snort-Version – darunter neu laden ohne Neustart, OpenAppId, gzip-Entkomprimierung und IP-Blockierlisten.

Die Multi-Core-Engine von Snort 3 basiert auf einer einzelnen persistenten Konfiguration. Da heute auch einfache und preiswerte Prozessoren mehrere Kerne enthalten, erhöht dies die Reichweite von Snort und verbessert seine Leistung auf preisgünstiger Hardware.

Die Schlüsselkomponenten von Snort 3 lassen sich austauschen. Das bedeutet, dass sie leicht durch Entwicklungen Dritter ersetzt werden können. Dienste erkennt Snort nun automatisch, sodass Ports, Speicher, Argumente und dergleichen nicht mehr konfiguriert werden müssen. Die Konfiguration wird beim Start überprüft, eine Dokumentation automatisch erstellt. Die vereinfachte Sprache fürs Abfassen von Regeln erkennt nun außerdem alle Protokolle selbständig.

Wie Roesch einst in seinem lange nicht aktualisierten Blog Security Sauce mitteilte, gab es 2009 schon einmal eine Betaversion von Snort 3.0. Die damaligen Einträge lassen die Probleme spüren, die zur völligen Neugestaltung des Systems führten. Das Projekt benötigte dafür immerhin fünf Jahre.

Aufgrund der grundlegenden Überarbeitung sind jetzt aber auch besonders gründliche Tests nötig, wie die Entwickler schreiben. Von einem Produktiveinsatz der Alpha wird dringend abgeraten.

Der Quelltext des Projekts ist auf GitHub verfügbar. Diskussionen finden hauptsächlich auf der Mailingliste Snort Developers statt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.