Релиз системы обнаружения атак Snort 2.9.12.0

12.10.2018 10:55

Компания Cisco опубликовала релиз Snort 2.9.12.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

Реализовано извлечение IP-адреса и порта туннеля при разборе запросов, использующих метод "HTTP CONNECT";
Обеспечен вывод предупреждений и восстановление неразрывной структуры запросов и ответов, в которых используется HTTP/1.0 и режим кусочной передачи ("Transfer-Encoding: chunked", появился в спецификации HTTP/1.1 и не должен использоваться в сеансах, заявленных как HTTP/1.0);
Улучшен код для обнаружения и обработки протокола SMB;
Улучшено обнаружение сеансов BitTorrent, в которых характерные для данного протокола метки появляются только в третьем сетевом пакете.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49432-snort

Ключевые слова: snort, ids, ips

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (1), 11:23, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
нарушители трудовой дисциплины - вам ПЦ! (а реальные угрозы как не ловились этой ерундой, так и не будут)

2.3, твой лучший друг (?), 11:37, 12/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
>а реальные угрозы как не ловились этой ерундой, так и не будут ну так напиши правило, препроцессор, код открыт, синтаксис логичен, архитектура прогнозируема. Под свою "реальную угрозу".

3.17, Fyj (?), 18:43, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Реальная - это та к которой ты не подготовился. А вообще этим должны зниматься профи в крупных шарагах, что собирают инфу об атаках со всего мира, а не админы на местах.

1.2, Аноним (2), 11:36, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Реальный практический смысл есть от этой приблуды?

2.4, А (??), 11:39, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Такой же, как от микроскопа.

2.5, пох (?), 11:56, 12/10/2018 [^] [^^] [^^^] [ответить]

+/–

тебе ж показали - ловить за руку пользующих на рабочем месте торренты, вполне реальная польза (сам бы я ТАКИХ тентаклей в жизни бы не нашел - в конце-концов дети...зачеркнуто, гугль же смотрит, я стесняюсь такие запросы в него вводить)

ну и кто тором обходит корпоративный прокси через connect, тоже попадет.

А если ты про обнаружение атак - нет, это не тот инструмент. Да и не в том роль ИБ в большинстве современных лавочек.

3.6, BrainFucker (ok), 13:29, 12/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Можно просто запретить исходящие на все порты кроме 80, 443 и при необходимости ко всяким 22 и прочим.

4.7, пох (?), 14:22, 12/10/2018 [^] [^^] [^^^] [ответить]

–1 +/–

можно, но это до первого наезда разъяренного достаточно большого, чтобы плевать на твою голову, начальника, у которого не открылось что-то нужное для бизнеса, висящее на 8080 или куда там нынче принято распихивать tomcat.

Бывает и круче - тут вон, к примеру, заблокирована мэйлрушечка. Вроде и разумное решение, в конторе где запрещена неконтролируемая кем-надо переписка и тем более котики в рабочее время?
А вот хрен там - у мэйлрушечки помимо котиков есть еще и infra.mail.ru, что пол-беды, так там еще и консоли виртуалок доступны через порт 6080 - попробуй угадай.

в результате твой прекрасный надежный пакетный фильтр (потому что на ng-firewall денег безопастники зажали) начинает напоминать слово тутошней политикой запрещенное.

А торрент,кстати, прекрасно работает и с 22м портом, и с 80м, я в свое время так как раз и настраивал.

5.8, BrainFucker (ok), 14:33, 12/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
> А торрент,кстати, прекрасно работает и с 22м портом, и с 80м, я в свое время так как раз и настраивал. Настроить-то не проблема (разве что из под рута запускать придётся), только вероятность найти такого пира на нужной раздаче близка к нулю, в этом и заключается эффективность этого метода фильтрации торрентов.

5.9, имя (?), 15:12, 12/10/2018 [^] [^^] [^^^] [ответить]	–4 +/–
начальников что для бизнеса лезут в чужой Tomcat на порту 8080 надо слать лесом. лично я так и делаю обосновав это технически. потому что это не бизнес а детский сад. ни один уважающий себя админ из уважающей себя конторы не повесит Tomcat прямиком в Internet - всенепременно прикроет снаружи при помощи Apache или Nginx

4.10, freerdp (?), 15:24, 12/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Не вариант. Вешаешь Openvpn на удаленном сервере на порт 443 и через построенный туннель ходишь куда угодно.

5.11, BrainFucker (ok), 15:36, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Тот кто может поднимать vpn, не будет использовать торренты на работе. Этим в основном офисный планктон страдает. А так-то можно просто посмотреть на излишне большой расход трафика, выяснить и наказать штрафом. И никакие заморочки с фильтрацией не нужны будут.

6.13, пох (?), 16:06, 12/10/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> можно просто посмотреть на излишне большой расход трафика,

это в твоем подвальчике только можно. А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.
А бывают конторы - с десятками тысяч.
Штрафы, кстати, тоже нельзя, придет трудинспекция, сделает бо-бо. Можно лишить премии, но это делается приказом, и у него должны быть обоснования - а не "ты куда-то там посмотрел и чего-то понарешал".

Ну да, по хорошему, нехрен при таких масштабах ит-бузинеса экономить на современном файрволе. А на практике - именно у таких и будет линукс с iptables вместо хотя бы и несовременного.

Ну и снорт поверх всего этого, в виде особой вишенки на вафельном тортике от кого-то особо продвинутого из ИБ отдела (или из ИТ, если ИБ вообще не предусмотрена бюджетом)

7.15, BrainFucker (ok), 16:24, 12/10/2018 [^] [^^] [^^^] [ответить]

+/–

> Можно лишить премии,

Это и есть штраф.

> но это делается приказом, и у него должны быть обоснования

Ну так не проблема изначально в правилах и договоре прописать.

> А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.

Учёт трафика так сложно? А админу проверить комп работника не проблема, в случае подозрений.

Так-то достаточно запретов с вероятностью лишения премии чтобы большинство даже не думало о нарушениях.

5.16, dmg (?), 17:31, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
у меня на одной работе была подмена сертификата на 443 порту на корпоративный, чтобы инспекция работала.. и как, подскажите, это обойти вашим гениальным способом?

6.18, commiethebeastie (ok), 20:09, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ключевое слово была, в 2018 году подменять сертификат стало сложнее. Год, два и быдлоадмины про это забудут.

7.20, пох (?), 21:45, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
наоборот, проще - гугль отменил pkp в браузере. В смысле , при открытии страниц, конечно, а не при слитии телеметрии. ручное сопоставление тоже не работает - слава летсшиткрипту, с его ежедневным обновлением сертификатов, и героической пое6де над конкурентами.

8.21, Аноним (21), 23:22, 12/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
а удалить из доверенных корпоротивный сертификат религия не позволяет а постави... текст свёрнут, показать

5.19, Аноним (19), 21:06, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Что тебе рута даст, что бы что то повешать.

1.12, Аноним (12), 16:00, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Тот факт, что обсуждение системы обнаружения атак свелось к разговорам о её DPI-функционале применительно к торрентам, очень своеобразно характеризует комментаторов.

2.14, пох (?), 16:11, 12/10/2018 [^] [^^] [^^^] [ответить]

–1 +/–

нет, он систему "обнаружения атак" характеризует. К сожалению. Собственно, перечитай новость, а не комментарии.

Может на коммерческих ruleset'ах и можно куда-то недалеко уехать со снортом, а на стандартных вообще ловить нечего - оно обнаружит только то, что вообще никому неинтересно.

На практике его не получается использовать даже для дублирования коммерческих систем - слишком много ложных срабатываний, и перестают обращать внимание на его алярмы вообще.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: