Español | English
rss facebook linkedin Twitter

SnortSP beta 3? o alpha -3?

Leo por casualidad que el día 1 de Abril salió una nueva versión beta de snortsp (AKA Snort Security Platform). Pensé que después de la beta 2 ya no veríamos más betas y podría aparecer algún tipo de roadmap con el que ver hacia donde evoluciona, pero no ha sido así.

Es muy complicado entender porque se le llama a snortsp beta, y lo que es peor, porque se le llama beta 3. Se ha perdido el concepto de tecnology preview o alpha completamente.. A continuación expongo un par de reflexiones acerca del estado de snortsp a día de hoy, y desde hace más de un año que está así. No he querido investigar mucho más, pero la versión beta 2 ya existía en Julio de 2008..

Para los que desconozcan que es snortsp, sirva como resumen que se trata de un sistema flexible para ejecutar snort o lo que pudiera venir.. y digo bien, porque snortsp no es snort, sino que permite ejecutar snort como un módulo más.


Desde el punto de vista purista y tecnológico se trata de un framework que permite canalizar entradas y salidas a través de analizadores, configurable (en parte) en tiempo real a través de un interfaz, que permite además la manipulación a través de scripting con Lua. Cuando se ejecuta el programa tenemos acceso a un intérprete por comandos que permite crear orígenes de datos (interfaces de red o archivos), crear analizadores, crear salidas para los datos, y enlazarlo todo para que los analizadores realicen el trabajo sobre las fuentes de datos antes de ir a las salidas.

Desde el punto de vista objetivo tecnológico, han reinventado la shell, reprogramado una, y complicado un poco más el hecho de lanzar snort, ya para ejecutarlo es necesario aprender Lua scripting, programar un objeto analizador siguiendo el estándar snortsp, y finalmente asociarlo. Siguiendo esta filosofía acabaremos enviando mails usando visual basic over telnet otra vez..


Por lo menos se incluye la opción 'no sé nada de snortsp' que hace esto de forma automática (el término esto no incluye la ejecución de snort) que se encarga de crear un engine de captura u origen de datos, un analizador de ejemplo, y los enlaza. Para que snort funcione analizando los datos a través de snortsp es necesario compilarlo (ha cambiado el código un poquito para que funcione) específicamente para ello, y crear el analizador adecuado, cambiar algunas cosas de la configuración de snort (stream4 ya no existe, así como algunos parámetros de reglas que tampoco existen de momento), y rezar, el que sepa..

Es importante leer las release notes antes de continuar este post..Se supone que snortsp va a ofrecer un mejor rendimiento ya que permite gestionar tanto los orígenes de datos como los flujos de operación de forma común y no será necesario interpretar los paquetes varias veces.. Bien, esto puede ser cierto o no, eso si, ha sido en la versión beta 3 donde han incluido la opción:


Single-threaded mode (new): this is enabled by configure

  --enable-single-threaded.  In this mode, the framework and analytics are
"stacked" up to run sequentially in the same thread. You can even configure
multiple stacks to run in parallel.

Hasta ahora una de las supuestas ventajas era que el modo multi-hilo mejoraba el rendimiento general de todo el programa. Ahora ya sí que no sé hacia donde van con snortsp.. Por cierto, como referencia curiosa..


Snort 2.8.2.1:

* This release is the initial port of snort to SSP. Full integration is
underway (eg to use the SSP packet_t directly instead of converting that to
the Snort 2.8 Packet).

A día de hoy todavía se siguen convirtiendo los paquetes de formato snortsp a formato snort para que puedan ser interpretarlos..

Conclusiones:

- esta es la evolución del software..
- esta es la evolución del software libre..
- esta es una forma de buscar publicidad por parte de sourcefire..

Iñaki López
S21Sec Labs

1 comentario:

Txalin dijo...

Añadiria una cuarta conclusion:

- Esta es la "Google way of life" para desarrollar software.

Y me explico: Lanzas un producto (alguien dijo gmail?), lo dejas un par de decenios en beta y asi si se estropea el invento solo tienes que decir "Es que es una beta!"


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login