Организация OISF (Open Information Security Foundation) объявила (http://openinfosecfoundation.org/index.php/component/content...) о выходе первой стабильной версии открытой системы обнаружения и предотвращения атак <a href="http://openinfosecfoundation.org/documentation/index.html" title="Документация">Suricata</a> IDS/IPS, базирующейся на принципиально новых механизмах работы. Создание данной системы спонсировалось правительством США.
Уникальными особенностями Suricata являются поддержка ускорения работы с помощью технологии вычислений на видеоакселераторах NVIDIA CUDA, многопоточный режим работы, возможность обнаружения неизвестных типов сетевого трафика, большое количество вариантов захвата сетевого трафика, вплоть до получения его напрямую из ядра Linux. Более подробно про возможности системы Suricata можно прочитать в новости (http://www.opennet.ru/opennews/art.shtml?num=24877) о выходе публичной бета версии.URL: http://openinfosecfoundation.org/index.php/component/content...
Новость: http://www.opennet.ru/opennews/art.shtml?num=27374
больше всего меня порадовало обили документации и качество описания....
IMHO разводной троян....
+10500
полюбому эта софтина напичкана чемто лишним
ничотак заготовка. осталось выпилить црушные баги и впилить парочку багов для фсб, и можно форсить в рунете как в свое время вконтактик.
>и можно форсить в рунете как в свое время вконтактик.??
вещества...
"...вплоть до получения его напрямую из ядра Linux" - а в энтерпрайз версии в плоть до получения напрямую из мозга
Только сейчас воткнулся,что они это сделали в пику snort - там кабан,а тут этот сурикат,как всем известном мультике.
А никто не подскажет, что можно использовать, если клиент ну очень сильно хочет (мы аутсорс) систему для обнаружения инсайдеров? Кто-нибудь работал с какой-нибудь платформой из продаваемых?Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю, важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины для почты и прокси-сервера), на что дать алерт по тому же SNMP для мониторинга.
Поисковая выдача в Google есть, в том числе для *nix, но каковы эти *решения* в реальной эксплуатации совершенно не ясно.
тут нужна систем DLP - data leakage prevention.>[оверквотинг удален]
>платформой из продаваемых?
>
>Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю,
>важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не
>ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины
>для почты и прокси-сервера), на что дать алерт по тому же
>SNMP для мониторинга.
>
>Поисковая выдача в Google есть, в том числе для *nix, но каковы
>эти *решения* в реальной эксплуатации совершенно не ясно.
Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь психиатра.
>Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь
>психиатра.Очень зря иронизируете. Например, во многих банках, сидит дядечка (обычно отставной древний мент) курирует безопасность и в его обязанности входит чтение вх\исх электронной почты сотрудников. Сам видел за работой такой IDS :)
Я сказал "как правило" а не "всегда", и Вы правильно сказали "сидит дядечка" - фантазии о "программе на компьютере" которая "сама защитит нас от всего" скорее диагноз а не мероприятие по информационной безопасности.
пример - Дозор-Джет. Solaris+Oracle+спец.софт
>пример - Дозор-Джет. Solaris+Oracle+спец.софтбыла/есть версия на линуксе + постгрес + сам дозор. работала как часы. можете взять демо-версию с их сайта
Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает как SMTP-фильтр и сканирует всю почту.Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я не работал, сказать ничего не могу.
О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
>Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает
>как SMTP-фильтр и сканирует всю почту.
>
>Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я
>не работал, сказать ничего не могу.
>
>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.htmlА что это вообще из себя представляет на практике?
>>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
>
>А что это вообще из себя представляет на практике?На практике? Ну как сейчас не знаю, а 5 лет назад когда я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор, по введению Дозора внутрь почтовой сети.
Основная проблема была в том, что СМАП расчитан на то, что им будут пользоваться безопасники, и он будет контролировать почту даже админов.
Я отказался от контроля админов, точнее был вынужден оставить им техническую возможность обойти СМАП, но решить там эту проблему было нельзя - безопасники не обладали необходимой квалификацией, а админы в конце-концов вообще отобрали СМАП у них себе, и стали пользовать его сами как систему архивации почты с мощным поиском.
Схема внедрения от Джет рекомендует ставить СМАП перед почтовиком (SMTP-relay aka proxy), мне такая схема не подходила потому что в компании уже была полносьтью рабочая почта на более чем 500 пользователей, в том числе через почту ходили сообщения от платёжных систем, поэтому времени перенастраивать систему "в живую" у нас не было, а при такой схеме включения без настройки весь спам и вирусы падают в архив.
Так как там уже было всё настроено, я написал модуль интеграции их почтовика(MDaemon) через API со СМАП. Писал на С+python и использовал postfix как прослойку.
Общее время прохождения писем увеличилось в среднем примерно на 10-30 секунд. Большие (>100мб) письма ходили по 2-3 минуты, но это было в пределах допустимого, так что решения работало достаточно долго. Правда в коде на Си точно были утечки, так что раз в сутки приходилось перезапускать плагин. Но я изначально говорил, что не умею программировать DLL под win32.
Много позже я понял где были утечки - спека на API была неверной, и не вызывался метод в котором освобождалась память, но это уже другая история, я к этому моменту уже 3 года там не работал! :)
>>>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
>>
>>А что это вообще из себя представляет на практике?
>
>На практике? Ну как сейчас не знаю, а 5 лет назад когда
>я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
>по введению Дозора внутрь почтовой сети.Ясно, спасибо. А ложные срабатывания, и т п?
>>На практике? Ну как сейчас не знаю, а 5 лет назад когда
>>я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
>>по введению Дозора внутрь почтовой сети.
>
>Ясно, спасибо. А ложные срабатывания, и т п?А правила должны писать вы, так что как напишите, так и будет работать. Там собсно есть действие "Задержать письмо до рассмотрения большим братом", как-то так.
И уже после ручной проверки будет принято решение о том стоит ли его отправлять.
PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные архивы, etc.
PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только на старте съел около $20k с железом, и ужимали там бюджет очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно она дешевле обойдётся. У меня таких мелкий проектов не было.
>[оверквотинг удален]
>И уже после ручной проверки будет принято решение о том стоит ли
>его отправлять.
>
>PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные
>архивы, etc.
>PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
>PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только
>на старте съел около $20k с железом, и ужимали там бюджет
>очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно
>она дешевле обойдётся. У меня таких мелкий проектов не было.Версия с Ораклом и Солярисом была дорогой в первую очередь из-за Оракла. Если не хранить почту за 5 лет в базе, то Постгрессовая версия тянула и большое кол-во пользователей
>>[оверквотинг удален]
>>PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только
>>на старте съел около $20k с железом, и ужимали там бюджет
>>очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно
>>она дешевле обойдётся. У меня таких мелкий проектов не было.
>
>Версия с Ораклом и Солярисом была дорогой в первую очередь из-за Оракла.Нет, там просто ещё в какой-то момент был вариант, что версия на 50 ящиков вообще сильно дешевле получалась. Ограничение на то что большие лицензии только на Oracle вроде уже давно сняли. Но вообще это столь старая инфа, что заниматься этой некрофилией не имеет особого смысла IMHO. :)
> Если не хранить почту за 5 лет в базе, то
> Постгрессовая версия тянула и большое кол-во пользователейНу я постгресовую-версию ставил на 500 ящиков. При наличии оперативного архива за пару месяцев даже на PostgreSQL 7.4 работало вполне сносно.
Сейчас везде уже идёт PgSQL 8.x, а скоро думаю и 9.0 будет - оно ещё быстрее будет. Плюс можно самостоятельно(если этого ещё нет) сделать партицирование базы. :)
PS: Хотя я даже СМАП Дозор-Джет 4.0 только в бетах видел. Ни одного внедрения сам уже не сделал. :)
>[оверквотинг удален]
>
>Ну я постгресовую-версию ставил на 500 ящиков. При наличии оперативного архива за
>пару месяцев даже на PostgreSQL 7.4 работало вполне сносно.
>
>Сейчас везде уже идёт PgSQL 8.x, а скоро думаю и 9.0 будет
>- оно ещё быстрее будет. Плюс можно самостоятельно(если этого ещё нет)
>сделать партицирование базы. :)
>
>PS: Хотя я даже СМАП Дозор-Джет 4.0 только в бетах видел. Ни
>одного внедрения сам уже не сделал. :)ну я сам поработал только с самыми первыми версиями 4.0
Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по слову Тропа
но стоит это бешеных денег и насколько реально защищает - незнаю
>Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по
>слову ТропаТропа - это VPN и ничего кроме.
Чаще всего нужно там, где VPN должен быть по критографией по ГОСТу.>но стоит это бешеных денег
Ну безопасность всегда была дорогим удовольствием... куда более дорогим чем способы её обхода.
> и насколько реально защищает - незнаю
Как настроить, так и защитит. Не больше...
" ..Создание данной системы спонсировалось правительством США. "
Ключевая фраза : )))