Компания Cisco опубликовала (https://blog.snort.org/2018/10/snort-29120-has-been-released...) релиз Snort 2.9.12.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Реализовано извлечение IP-адреса и порта туннеля при разборе запросов, использующих метод "HTTP CONNECT";
- Обеспечен вывод предупреждений и восстановление неразрывной структуры запросов и ответов, в которых используется HTTP/1.0 и режим кусочной передачи ("Transfer-Encoding: chunked", появился в спецификации HTTP/1.1 и не должен использоваться в сеансах, заявленных как HTTP/1.0);
- Улучшен код для обнаружения и обработки протокола SMB;
- Улучшено обнаружение сеансов BitTorrent, в которых характерные для данного протокола метки появляются только в третьем сетевом пакете.URL: https://lists.snort.org/pipermail/snort-users/2018-October/0...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49432
нарушители трудовой дисциплины - вам ПЦ!(а реальные угрозы как не ловились этой ерундой, так и не будут)
>а реальные угрозы как не ловились этой ерундой, так и не будутну так напиши правило, препроцессор, код открыт, синтаксис логичен, архитектура прогнозируема. Под свою "реальную угрозу".
Реальная - это та к которой ты не подготовился. А вообще этим должны зниматься профи в крупных шарагах, что собирают инфу об атаках со всего мира, а не админы на местах.
Реальный практический смысл есть от этой приблуды?
Такой же, как от микроскопа.
тебе ж показали - ловить за руку пользующих на рабочем месте торренты, вполне реальная польза (сам бы я ТАКИХ тентаклей в жизни бы не нашел - в конце-концов дети...зачеркнуто, гугль же смотрит, я стесняюсь такие запросы в него вводить)ну и кто тором обходит корпоративный прокси через connect, тоже попадет.
А если ты про обнаружение атак - нет, это не тот инструмент. Да и не в том роль ИБ в большинстве современных лавочек.
Можно просто запретить исходящие на все порты кроме 80, 443 и при необходимости ко всяким 22 и прочим.
можно, но это до первого наезда разъяренного достаточно большого, чтобы плевать на твою голову, начальника, у которого не открылось что-то нужное для бизнеса, висящее на 8080 или куда там нынче принято распихивать tomcat.Бывает и круче - тут вон, к примеру, заблокирована мэйлрушечка. Вроде и разумное решение, в конторе где запрещена неконтролируемая кем-надо переписка и тем более котики в рабочее время?
А вот хрен там - у мэйлрушечки помимо котиков есть еще и infra.mail.ru, что пол-беды, так там еще и консоли виртуалок доступны через порт 6080 - попробуй угадай.в результате твой прекрасный надежный пакетный фильтр (потому что на ng-firewall денег безопастники зажали) начинает напоминать слово тутошней политикой запрещенное.
А торрент,кстати, прекрасно работает и с 22м портом, и с 80м, я в свое время так как раз и настраивал.
> А торрент,кстати, прекрасно работает и с 22м портом, и с 80м, я в свое время так как раз и настраивал.Настроить-то не проблема (разве что из под рута запускать придётся), только вероятность найти такого пира на нужной раздаче близка к нулю, в этом и заключается эффективность этого метода фильтрации торрентов.
начальников что для бизнеса лезут в чужой Tomcat на порту 8080 надо слать лесом. лично я так и делаю обосновав это технически. потому что это не бизнес а детский сад. ни один уважающий себя админ из уважающей себя конторы не повесит Tomcat прямиком в Internet - всенепременно прикроет снаружи при помощи Apache или Nginx
Не вариант. Вешаешь Openvpn на удаленном сервере на порт 443 и через построенный туннель ходишь куда угодно.
Тот кто может поднимать vpn, не будет использовать торренты на работе. Этим в основном офисный планктон страдает. А так-то можно просто посмотреть на излишне большой расход трафика, выяснить и наказать штрафом. И никакие заморочки с фильтрацией не нужны будут.
> можно просто посмотреть на излишне большой расход трафика,это в твоем подвальчике только можно. А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.
А бывают конторы - с десятками тысяч.
Штрафы, кстати, тоже нельзя, придет трудинспекция, сделает бо-бо. Можно лишить премии, но это делается приказом, и у него должны быть обоснования - а не "ты куда-то там посмотрел и чего-то понарешал".Ну да, по хорошему, нехрен при таких масштабах ит-бузинеса экономить на современном файрволе. А на практике - именно у таких и будет линукс с iptables вместо хотя бы и несовременного.
Ну и снорт поверх всего этого, в виде особой вишенки на вафельном тортике от кого-то особо продвинутого из ИБ отдела (или из ИТ, если ИБ вообще не предусмотрена бюджетом)
> Можно лишить премии,Это и есть штраф.
> но это делается приказом, и у него должны быть обоснования
Ну так не проблема изначально в правилах и договоре прописать.
> А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.
Учёт трафика так сложно? А админу проверить комп работника не проблема, в случае подозрений.
Так-то достаточно запретов с вероятностью лишения премии чтобы большинство даже не думало о нарушениях.
у меня на одной работе была подмена сертификата на 443 порту на корпоративный, чтобы инспекция работала..и как, подскажите, это обойти вашим гениальным способом?
Ключевое слово была, в 2018 году подменять сертификат стало сложнее. Год, два и быдлоадмины про это забудут.
наоборот, проще - гугль отменил pkp в браузере. В смысле , при открытии страниц, конечно, а не при слитии телеметрии.ручное сопоставление тоже не работает - слава летсшиткрипту, с его ежедневным обновлением сертификатов, и героической пое6де над конкурентами.
а удалить из доверенных корпоротивный сертификат религия не позволяет?
а поставить вирутальную машину и серфить оттуда?вопрос только в том, что вы будете делать, если они терминируют соединение.
ну узнали вы что сертификат левый, а дальше то что?
без VPN никуда..
Что тебе рута даст, что бы что то повешать.
Тот факт, что обсуждение системы обнаружения атак свелось к разговорам о её DPI-функционале применительно к торрентам, очень своеобразно характеризует комментаторов.
нет, он систему "обнаружения атак" характеризует. К сожалению. Собственно, перечитай новость, а не комментарии.Может на коммерческих ruleset'ах и можно куда-то недалеко уехать со снортом, а на стандартных вообще ловить нечего - оно обнаружит только то, что вообще никому неинтересно.
На практике его не получается использовать даже для дублирования коммерческих систем - слишком много ложных срабатываний, и перестают обращать внимание на его алярмы вообще.