В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений

20.08.2012 11:46

В сети заработал проект открытого сообщества информационной безопасности WASP-Guard. Основными направлениями деятельности группы является создание масштабируемой распределенной системы обнаружения вторжений, которой сможет пользоваться любой системный администратор для защиты хоста либо группы хостов своей сети. На основании сбора данных с сенсоров, размещённых участниками сообщества, строится несколько постоянно обновляемых видов чёрных списков, которые можно использовать для защиты web-серверов, почтовых серверов, конфигурирования межсетевых экранов, защиты от DDOS-атак. Код всех компонентов, выполняемых на клиентской стороне, является открытым и основан на использовании стандартных открытых проектов, таких как mod_security, fail2ban, ssenforce, cssenblacklist, mod_evasive.

На данный момент система включает в себя:

Cенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы.
Подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров.
Хранилище, обеспечивающее накопление первичных событий и результатов анализа.
Консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.
Cистему распространения чёрных списков, включающих уже заблокированные системой адреса.

Также запущен сервис RBL, который постоянно обновляется и дополняется на основании сигнатур угроз почтовым системам в реальном времени. Любой участник сообщества может выступать как только сенсором или только защищённой системой, так и полноправным участником.

исправить –1 +/–

Главная ссылка к новости (http://wasp-guard.ru...)

Автор новости: WASP

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/34615-rbl

Ключевые слова: rbl, security, blacklist

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, Анонище (?), 12:38, 20/08/2012 [ответить]	+1 +/–
> WASP-Guard свободный проект с открытым кодом клиентской части Почему только клиентской?

2.5, Аноним (-), 19:24, 20/08/2012 [^] [^^] [^^^] [ответить]	+/–
Тут давеча любители canonical и ubuntu one доказывали, что открыть код только клиенсткой части - значит уже оказать огромную услугу сообществу, за которую оно должно быть безмерно благодарно до гроба.

1.2, Аноним (-), 13:32, 20/08/2012 [ответить]	–1 +/–
mod_evansive? в первый раз слышу

1.3, Аноним (-), 18:24, 20/08/2012 [ответить]	+1 +/–
> Консоль управления, позволяющая конфигурировать СОВ Совы не те, кем кажутся.

1.4, sanDro (ok), 18:52, 20/08/2012 [ответить]	+1 +/–
Открытое сообщество при закрытой серверной части??? Ну да сообщество открыто для тех у кого серверная часть...

1.6, Chris (??), 10:28, 21/08/2012 [ответить]	+/–
Сколько рассуждений ))) Если кому то нужна серверная часть - пишите им, они легко ей делятся, все на базе mysql + apache + php + c, коммерческого в проекте точно ничего нет, да и клиентская часть делает всю работу, а серверная только накапливает в себе записи.

1.7, Аноним (7), 10:35, 21/08/2012 [ответить]	+/–
Как написали на сайте "как-то всё сумбурно", но думаю кому нибудь это пригодится.

1.8, Chris (??), 13:55, 21/08/2012 [ответить]	+/–
Вся сумбурность довольно проста: Любым ПО получаете информацию о проникновении, да хоть даже через grep в /var/log/auth.log и пересылаете эту информацию через cssenforce на сервер, если хотите блокируете у себя. Дальше, если количество таких сообщений по конкретному адресу перевалило допустимое значение, то он блокируется на определённый срок (два месяца с момента последнего обнаружения). К себе заблокированные адреса перетаскиваете через cssblacklist и добавляете например в файрвол. Вроде как все просто и понятно. Основная трудность настройка этих самых сенсоров. Но тут не только на сайте написано, но и интернет кишмя кишит разными полезными статьями, вот например на хабре: http://habrahabr.ru/company/myasterisk/blog/130325/

Добавить комментарий

Текст: