Tras un largo análisis y consideración Vyatta ha decidido que desde el dia 31 de Marzo del 2012 ya no da soporte para la funcionalidad de prevención de intrusión (Intrussion Prevention System – IPS) que incluía desde sus inicios en base al afamado Snort. Este cambio afecta tanto a versiones libres Vyatta Core, que permitían actualizar las reglas de Snort mediante una cuenta gratuita, como a versiones de suscripción que incluían el servicio Vyatta PLUS IPS que ofrecía una suscripción al servicio VRT de Snort y con el que permitía la actualización automática de reglas profesionales IPS para detección de intrusismo, vulnerabilidades de sistemas, etc.

Según explican en Vyatta, esta medida se ha tomado debido a que Snort influía mucho en el rendimiento del sistema y también en su estabilidad ya que el mantenimiento asociado con el motor actual ha requerido numerosas y frecuentes actualizaciones de software, lo que redunda en la estabilidad del sistema.
Por lo que según Vyatta lo que debemos hacer los usuarios que tenemos corriendo en alguna de nuestras máquinas el módulo “content-inspection” es borrar la configuración de este módulo antes o después de actualizar a la versión 6.4.

En este FAQ sobre Vyatta 6.4 podemos leer todo lo anterior.

Mas allá de las menciones oficiales respecto al abandono de Snort por parte de Vyatta, sabemos que la forma en la que Snort influye en la estabilidad de todo el sistema Vyatta es debido a que el análisis que Snort lleva a cabo se hace operando en una sola CPU y que por ahora no es posible hacer que Snort trabaje de forma linear con varias CPUs. Estas datos fueron publicados por Joel Esler de Snort en el grupo de usuario Vyatta de Linkedin en un debate muy interesante.

Mas info en este hilo del foro de la comunidad vyatta.org.



snort logo