The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз системы обнаружения атак Snort 2.9.12.0

12.10.2018 10:55

Компания Cisco опубликовала релиз Snort 2.9.12.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

  • Реализовано извлечение IP-адреса и порта туннеля при разборе запросов, использующих метод "HTTP CONNECT";
  • Обеспечен вывод предупреждений и восстановление неразрывной структуры запросов и ответов, в которых используется HTTP/1.0 и режим кусочной передачи ("Transfer-Encoding: chunked", появился в спецификации HTTP/1.1 и не должен использоваться в сеансах, заявленных как HTTP/1.0);
  • Улучшен код для обнаружения и обработки протокола SMB;
  • Улучшено обнаружение сеансов BitTorrent, в которых характерные для данного протокола метки появляются только в третьем сетевом пакете.


  1. Главная ссылка к новости (https://lists.snort.org/piperm...)
  2. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
  3. OpenNews: Релиз системы обнаружения атак Snort 2.9.11.0
  4. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  5. OpenNews: Доступна система обнаружения атак Suricata 4.0
  6. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49432-snort
Ключевые слова: snort, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:23, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    нарушители трудовой дисциплины - вам ПЦ!

    (а реальные угрозы как не ловились этой ерундой, так и не будут)

     
     
  • 2.3, твой лучший друг (?), 11:37, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а реальные угрозы как не ловились этой ерундой, так и не будут

    ну так напиши правило, препроцессор, код открыт, синтаксис логичен, архитектура прогнозируема. Под свою "реальную угрозу".

     
     
  • 3.17, Fyj (?), 18:43, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Реальная - это та к которой ты не подготовился. А вообще этим должны зниматься профи в крупных шарагах, что собирают инфу об атаках со всего мира, а не админы на местах.
     

  • 1.2, Аноним (2), 11:36, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Реальный практический смысл есть от этой приблуды?
     
     
  • 2.4, А (??), 11:39, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Такой же, как от микроскопа.
     
  • 2.5, пох (?), 11:56, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    тебе ж показали - ловить за руку пользующих на рабочем месте торренты, вполне реальная польза (сам бы я ТАКИХ тентаклей в жизни бы не нашел - в конце-концов дети...зачеркнуто, гугль же смотрит, я стесняюсь такие запросы в него вводить)

    ну и кто тором обходит корпоративный прокси через connect, тоже попадет.

    А если ты про обнаружение атак - нет, это не тот инструмент. Да и не в том роль ИБ в большинстве современных лавочек.

     
     
  • 3.6, BrainFucker (ok), 13:29, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно просто запретить исходящие на все порты кроме 80, 443 и при необходимости ко всяким 22 и прочим.
     
     
  • 4.7, пох (?), 14:22, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    можно, но это до первого наезда разъяренного достаточно большого, чтобы плевать на твою голову, начальника, у которого не открылось что-то нужное для бизнеса, висящее на 8080 или куда там нынче принято распихивать tomcat.

    Бывает и круче - тут вон, к примеру, заблокирована мэйлрушечка. Вроде и разумное решение, в конторе где запрещена неконтролируемая кем-надо переписка и тем более котики в рабочее время?
    А вот хрен там - у мэйлрушечки помимо котиков есть еще и infra.mail.ru, что пол-беды, так там еще и консоли виртуалок доступны через порт 6080 - попробуй угадай.

    в результате твой прекрасный надежный пакетный фильтр (потому что на ng-firewall денег безопастники зажали) начинает напоминать слово тутошней политикой запрещенное.

    А торрент,кстати, прекрасно работает и с  22м портом, и с 80м, я в свое время так как раз и настраивал.

     
     
  • 5.8, BrainFucker (ok), 14:33, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А торрент,кстати, прекрасно работает и с  22м портом, и с 80м, я в свое время так как раз и настраивал.

    Настроить-то не проблема (разве что из под рута запускать придётся), только вероятность найти такого пира на нужной раздаче близка к нулю, в этом и заключается эффективность этого метода фильтрации торрентов.

     
  • 5.9, имя (?), 15:12, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    начальников что для бизнеса лезут в чужой Tomcat на порту 8080 надо слать лесом. лично я так и делаю обосновав это технически. потому что это не бизнес а детский сад. ни один уважающий себя админ из уважающей себя конторы не повесит Tomcat прямиком в Internet - всенепременно прикроет снаружи при помощи Apache или Nginx
     
  • 4.10, freerdp (?), 15:24, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не вариант. Вешаешь Openvpn на удаленном сервере на порт 443 и через построенный туннель ходишь куда угодно.
     
     
  • 5.11, BrainFucker (ok), 15:36, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тот кто может поднимать vpn,  не будет использовать торренты на работе. Этим в основном офисный планктон страдает. А так-то можно просто посмотреть на излишне большой расход трафика, выяснить и наказать штрафом. И никакие заморочки с фильтрацией не нужны будут.
     
     
  • 6.13, пох (?), 16:06, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > можно просто посмотреть на излишне большой расход трафика,

    это в твоем подвальчике только можно. А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.
    А бывают конторы - с десятками тысяч.
    Штрафы, кстати, тоже нельзя, придет трудинспекция, сделает бо-бо. Можно лишить премии, но это делается приказом, и у него должны быть обоснования - а не "ты куда-то там посмотрел и чего-то понарешал".

    Ну да, по хорошему, нехрен при таких масштабах ит-бузинеса экономить на современном файрволе. А на практике - именно у таких и будет линукс с iptables вместо хотя бы и несовременного.

    Ну и снорт поверх всего этого, в виде особой вишенки на вафельном тортике от кого-то особо продвинутого из ИБ отдела (или из ИТ, если ИБ вообще не предусмотрена бюджетом)

     
     
  • 7.15, BrainFucker (ok), 16:24, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно лишить премии,

    Это и есть штраф.

    >  но это делается приказом, и у него должны быть обоснования

    Ну так не проблема изначально в правилах и договоре прописать.

    > А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.

    Учёт трафика так сложно? А админу проверить комп работника не проблема, в случае подозрений.

    Так-то достаточно запретов с вероятностью лишения премии чтобы большинство даже не думало о нарушениях.

     
  • 5.16, dmg (?), 17:31, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у меня на одной работе была подмена сертификата на 443 порту на корпоративный, чтобы инспекция работала..

    и как, подскажите, это обойти вашим гениальным способом?

     
     
  • 6.18, commiethebeastie (ok), 20:09, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевое слово была, в 2018 году подменять сертификат стало сложнее. Год, два и быдлоадмины про это забудут.
     
     
  • 7.20, пох (?), 21:45, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    наоборот, проще - гугль отменил pkp в браузере. В смысле , при открытии страниц, конечно, а не при слитии телеметрии.

    ручное сопоставление тоже не работает - слава летсшиткрипту, с его ежедневным обновлением сертификатов, и героической пое6де над конкурентами.

     
     
  • 8.21, Аноним (21), 23:22, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а удалить из доверенных корпоротивный сертификат религия не позволяет а постави... текст свёрнут, показать
     
  • 5.19, Аноним (19), 21:06, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что тебе рута даст, что бы что то повешать.
     

  • 1.12, Аноним (12), 16:00, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Тот факт, что обсуждение системы обнаружения атак свелось к разговорам о её DPI-функционале применительно к торрентам, очень своеобразно характеризует комментаторов.
     
     
  • 2.14, пох (?), 16:11, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет, он систему "обнаружения атак" характеризует. К сожалению. Собственно, перечитай новость, а не комментарии.

    Может на коммерческих ruleset'ах и можно куда-то недалеко уехать со снортом, а на стандартных вообще ловить нечего - оно обнаружит только то, что вообще никому неинтересно.

    На практике его не получается использовать даже для дублирования коммерческих систем - слишком много ложных срабатываний, и перестают обращать внимание на его алярмы вообще.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру