Snort的是,12岁的开源入侵检测和预防系统,死了吗?开放信息安全基金会,由美国国土安全部(DHS)的美国部资助的非营利性组织拿出下一代开源IDS / IPS,是这样认为的。但Snort的创建者马丁·罗希,不敢苟同。
Snort的是,12岁的开源入侵检测和预防系统,死了吗?
该开放资讯保安基金会(OISF),由国土安全部美国(DHS)资助的非营利性组织拿出下一代开源IDS / IPS是这样认为的。但Snort的创建者马丁·罗希,不敢苟同,而事实上,调用OISF的第一个开源的IDS / IPS代码,Suricata 1.0本周发布的,廉价的敲落的Snort的支付与纳税人的钱。
该OISF成立大约一年半前,在从美国国土安全部网络安全研究项目的资金$ 1百万,根据马特Jonkman,OISF总裁。他说,OISF成立,形成一个开源的替代和更换,以Snort的,他说现在被认为是死的,因为对什么是应该的Snort,Snort的3.0的下一代版本的研究,已经停滞。
“Snort不利于IPv6和多线程,”Jonkman说,“而且Snort 3.0已经被废弃了。”
根据Jonkman OISF第一个开源版本Suricata 1.0优于Snort在很多方面,包括如何使用多线程技术来检查网络数据包检查一次超过一个包,他声称改善交通检测攻击的机会。据说Suricata还支持IP声誉,能够标记来自“邪恶来源”的流量,以及自动的协议检测,以自动识别在网络流中使用的协议。伊凡Ristic。
OISF现在包括九个联盟成员,安装Kerio,比维奥,NitroSecurity的和违反安全实验室与其他一些单独的代码贡献者,包括沿
所述Suricata开放源代码可用于由用户和供应商免费,根据Jonkman,虽然OISF是要求的费用时Suricata代码被改变,以适应特定的用途。“一些供应商希望做出改变,使其工作真的很好,” Jonkman说,加入Suricata的这种用法将导致不同的商业许可结构。
Suricata被定位为可能即将死亡的Snort的替代品。Snort最初是由of的CTO Roesch在12年前创建的Sourcefire他于2001年创建了该公司,目的是将Snort商业化,同时保持Snort代码基的开源。
虽然Sourcefire的做了小幅很好,Snort的开源有忍受和蓬勃发展与巨大的成功,今天有30万注册用户,以及近100个供应商是Snort的整合到自己的安全产品。
Roesch在描述他对OISF和Suricata (Sourcefire工程师检查过的代码)的看法时并没有避讳。
首先,任何有关Snort不适合IPv6的建议都是不正确的,他说。IPv6是联邦政府所要求的,它是众多基于snort产品的用户之一。
至于Suricata的多线程技术,它似乎不能提供任何实质的性能,Roesch说。他说:“我们观察了Suricata的性能,他们谈到多线程有多重要,但它从根本上变慢了。”
Suricata的最高时速今天可能比Snort的慢。Jonkman在8至10 Gbit / sec的理由是Suricata和罗斯奇引用的Snort在50千兆位/秒,这两个承认很多范围由于平台使用。但除此之外,罗斯奇说Suricata基本上是“的Snort的功能在其性能的一小部分子集。”他甚至称Suricata一“的Snort克隆”,因为它使用Snort的签名。Suricata的OISF的描述也包括如何使用Snort的签名与Suricata和过渡了Snort平台的。
Roesch说:“他们制造了一个Snort的克隆版本,其性能更差,而纳税人为此付出了代价。”“他们没有先进的身份证。”
然而,罗斯奇不承认的Snort 3.0,描述为一个研究项目,以测试新的检测方法把计算能力更好地利用,不以最快的速度可能是首选向前迈进。不过,他补充说,任何人都不应该得出这样的结论Snort是死了。
“他们希望Snort死掉,”Roesch说,添加Snort 3.0“并没有停止”。Additions and updates to the current Snort platform are done weekly, he says.
尽管如此,Jonkman说,因为没有足够的创新出现在IDS行业,并补充说,空军已经开始测试Suricata国土安全部资助OISF。Jonkman没有声称Suricata 1.0是从OISF一锤定音,而事实上,一些代码的修改已经被做Suricata 1.0这一周,在开源开发一个正常的过程。
没有开源根基的供应商正在密切关注OISF和Suricata。
思科,大型供应商的商业IPS产品,使用专有的技术,而不是Snort的,因为它的技术基础,但思科的IPS产品线经理拉什Carskadden,说,该公司意识到OISF,并密切关注其活动。
Carskadden说:“现在说它对行业或ip市场的影响还为时过早。”他补充道,思科本身已经在其ip中使用了多线程。但他赞扬了OISF通过广泛的社区参与以开放的方式推动IDS/IPS向前发展的工作。“但我们喜欢这样的努力,尝试新的想法。”
一些分析人士也对OISF表现出极大的热情。
“当然Snort的广泛部署,尤其是在学术界和美国联邦政府,”在IT咨询公司收获的首席研究分析师Richard斯蒂农说。“正如所有的技术,同时重新审视的需求和开销降低,并简化操作重起了一个框架,解决这些需要有益处,通常我相信OISF将提供一个重新审视,并提供Snort的替代这是Sourcefire公司的商业利益免费。
“Sourcefire的控制更改知识产权和更新周期。他们使用Snort的安装基础,以推销自己的商业解决方案,”斯蒂农说。“我不是说这是Snort的用户是件坏事,但它被限制到威胁防御技术从开源社区的整体发展。”
有些Sourcefire的客户说,他们正在关注新兴的Snort-Suricata竞争。
零售商Lands' End的高级安全分析师Bill O' malley说:“很难说,但这似乎是在与Snort竞争。”该公司使用Sourcefire IPS,并保留了Snort的开源免费软件,用于内部的入侵检测传感器。
虽然奥马利说,他希望看到的改进来更快速地使用Snort,他也看到周围的Snort一个充满活力的开源社区,继续增加新的Snort规则。他拒绝任何Sourcefire--他说,从来没有表示它会做什么,但保持Snort的开源理念 - 拥有Snort的太多的控制权。但奥马利正在研究Suricata看到它是什么了。
开放源码id /IPS并不适用于所有人,一些有过使用经验的安全管理人员已经从中吸取了教训,但却将其抛在脑后,不再回顾。加拿大卫生保健机构(位于不列颠哥伦比亚省)的信息安全系统专家Kris Jmaeff说,几年前通过使用免费的Snort,他学到了很多入侵检测和预防方面的知识。但他决定继续前进。
Jmaeff说,他发现审查和添加开放源代码的id /IPS签名是“非常费时的工作”,需要监控网络资源,比如新闻组的更新信息、新的威胁和防御。
Jmaeff补充道,此外,管理层对开源的不信任在总体上仍然存在,“对于开源,你不能百分之百地信任它”,因为有可能会在开源更新中插入恶意软件,如果出现问题,就会有一种感觉“没有人可以回头”。因此,尽管加拿大医疗保健机构在使用Snort方面总体上有良好的经验,但它在两年前决定是时候获取商业id /IPS了。它评估了四种供应商的产品——其中包括Sourcefire——但最终以惠普在价格、支持和易用性等方面的领先优势和定制报告脱颖而出。