The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Релиз системы обнаружения атак Snort 2.9.12.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от opennews (??), 12-Окт-18, 11:23 
Компания Cisco опубликовала (https://blog.snort.org/2018/10/snort-29120-has-been-released...) релиз Snort 2.9.12.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:


-  Реализовано извлечение IP-адреса и порта туннеля  при разборе запросов, использующих метод "HTTP CONNECT";
-  Обеспечен вывод предупреждений и восстановление неразрывной структуры запросов и ответов, в которых используется   HTTP/1.0 и режим кусочной передачи ("Transfer-Encoding: chunked", появился в спецификации HTTP/1.1 и не  должен использоваться  в сеансах, заявленных как HTTP/1.0);
-  Улучшен код для обнаружения и обработки протокола SMB;
-  Улучшено обнаружение сеансов BitTorrent, в которых характерные для данного протокола метки появляются только в третьем сетевом пакете.

URL: https://lists.snort.org/pipermail/snort-users/2018-October/0...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49432

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –3 +/
Сообщение от Аноним (1), 12-Окт-18, 11:23 
нарушители трудовой дисциплины - вам ПЦ!

(а реальные угрозы как не ловились этой ерундой, так и не будут)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +1 +/
Сообщение от твой лучший друг (?), 12-Окт-18, 11:37 
>а реальные угрозы как не ловились этой ерундой, так и не будут

ну так напиши правило, препроцессор, код открыт, синтаксис логичен, архитектура прогнозируема. Под свою "реальную угрозу".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от Fyj (?), 12-Окт-18, 18:43 
Реальная - это та к которой ты не подготовился. А вообще этим должны зниматься профи в крупных шарагах, что собирают инфу об атаках со всего мира, а не админы на местах.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от Анонимemail (2), 12-Окт-18, 11:36 
Реальный практический смысл есть от этой приблуды?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от А (??), 12-Окт-18, 11:39 
Такой же, как от микроскопа.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от пох (?), 12-Окт-18, 11:56 
тебе ж показали - ловить за руку пользующих на рабочем месте торренты, вполне реальная польза (сам бы я ТАКИХ тентаклей в жизни бы не нашел - в конце-концов дети...зачеркнуто, гугль же смотрит, я стесняюсь такие запросы в него вводить)

ну и кто тором обходит корпоративный прокси через connect, тоже попадет.

А если ты про обнаружение атак - нет, это не тот инструмент. Да и не в том роль ИБ в большинстве современных лавочек.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +1 +/
Сообщение от BrainFucker (ok), 12-Окт-18, 13:29 
Можно просто запретить исходящие на все порты кроме 80, 443 и при необходимости ко всяким 22 и прочим.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –1 +/
Сообщение от пох (?), 12-Окт-18, 14:22 
можно, но это до первого наезда разъяренного достаточно большого, чтобы плевать на твою голову, начальника, у которого не открылось что-то нужное для бизнеса, висящее на 8080 или куда там нынче принято распихивать tomcat.

Бывает и круче - тут вон, к примеру, заблокирована мэйлрушечка. Вроде и разумное решение, в конторе где запрещена неконтролируемая кем-надо переписка и тем более котики в рабочее время?
А вот хрен там - у мэйлрушечки помимо котиков есть еще и infra.mail.ru, что пол-беды, так там еще и консоли виртуалок доступны через порт 6080 - попробуй угадай.

в результате твой прекрасный надежный пакетный фильтр (потому что на ng-firewall денег безопастники зажали) начинает напоминать слово тутошней политикой запрещенное.

А торрент,кстати, прекрасно работает и с  22м портом, и с 80м, я в свое время так как раз и настраивал.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –1 +/
Сообщение от BrainFucker (ok), 12-Окт-18, 14:33 
> А торрент,кстати, прекрасно работает и с  22м портом, и с 80м, я в свое время так как раз и настраивал.

Настроить-то не проблема (разве что из под рута запускать придётся), только вероятность найти такого пира на нужной раздаче близка к нулю, в этом и заключается эффективность этого метода фильтрации торрентов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –4 +/
Сообщение от имя (?), 12-Окт-18, 15:12 
начальников что для бизнеса лезут в чужой Tomcat на порту 8080 надо слать лесом. лично я так и делаю обосновав это технически. потому что это не бизнес а детский сад. ни один уважающий себя админ из уважающей себя конторы не повесит Tomcat прямиком в Internet - всенепременно прикроет снаружи при помощи Apache или Nginx
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +1 +/
Сообщение от freerdp (?), 12-Окт-18, 15:24 
Не вариант. Вешаешь Openvpn на удаленном сервере на порт 443 и через построенный туннель ходишь куда угодно.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от BrainFucker (ok), 12-Окт-18, 15:36 
Тот кто может поднимать vpn,  не будет использовать торренты на работе. Этим в основном офисный планктон страдает. А так-то можно просто посмотреть на излишне большой расход трафика, выяснить и наказать штрафом. И никакие заморочки с фильтрацией не нужны будут.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +1 +/
Сообщение от пох (?), 12-Окт-18, 16:06 
> можно просто посмотреть на излишне большой расход трафика,

это в твоем подвальчике только можно. А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.
А бывают конторы - с десятками тысяч.
Штрафы, кстати, тоже нельзя, придет трудинспекция, сделает бо-бо. Можно лишить премии, но это делается приказом, и у него должны быть обоснования - а не "ты куда-то там посмотрел и чего-то понарешал".

Ну да, по хорошему, нехрен при таких масштабах ит-бузинеса экономить на современном файрволе. А на практике - именно у таких и будет линукс с iptables вместо хотя бы и несовременного.

Ну и снорт поверх всего этого, в виде особой вишенки на вафельном тортике от кого-то особо продвинутого из ИБ отдела (или из ИТ, если ИБ вообще не предусмотрена бюджетом)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от BrainFucker (ok), 12-Окт-18, 16:24 
> Можно лишить премии,

Это и есть штраф.

>  но это делается приказом, и у него должны быть обоснования

Ну так не проблема изначально в правилах и договоре прописать.

> А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.

Учёт трафика так сложно? А админу проверить комп работника не проблема, в случае подозрений.

Так-то достаточно запретов с вероятностью лишения премии чтобы большинство даже не думало о нарушениях.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от dmg (?), 12-Окт-18, 17:31 
у меня на одной работе была подмена сертификата на 443 порту на корпоративный, чтобы инспекция работала..

и как, подскажите, это обойти вашим гениальным способом?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от commiethebeastie (ok), 12-Окт-18, 20:09 
Ключевое слово была, в 2018 году подменять сертификат стало сложнее. Год, два и быдлоадмины про это забудут.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от пох (?), 12-Окт-18, 21:45 
наоборот, проще - гугль отменил pkp в браузере. В смысле , при открытии страниц, конечно, а не при слитии телеметрии.

ручное сопоставление тоже не работает - слава летсшиткрипту, с его ежедневным обновлением сертификатов, и героической пое6де над конкурентами.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –1 +/
Сообщение от Аноним (21), 12-Окт-18, 23:22 
а удалить из доверенных корпоротивный сертификат религия не позволяет?
а поставить вирутальную машину и серфить оттуда?

вопрос только в том, что вы будете делать, если они терминируют соединение.
ну узнали вы что сертификат левый, а дальше то что?
без VPN никуда..

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

19. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +/
Сообщение от Аноним (19), 12-Окт-18, 21:06 
Что тебе рута даст, что бы что то повешать.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Релиз системы обнаружения атак Snort 2.9.12.0 "  +4 +/
Сообщение от Аноним (12), 12-Окт-18, 16:00 
Тот факт, что обсуждение системы обнаружения атак свелось к разговорам о её DPI-функционале применительно к торрентам, очень своеобразно характеризует комментаторов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Релиз системы обнаружения атак Snort 2.9.12.0 "  –1 +/
Сообщение от пох (?), 12-Окт-18, 16:11 
нет, он систему "обнаружения атак" характеризует. К сожалению. Собственно, перечитай новость, а не комментарии.

Может на коммерческих ruleset'ах и можно куда-то недалеко уехать со снортом, а на стандартных вообще ловить нечего - оно обнаружит только то, что вообще никому неинтересно.

На практике его не получается использовать даже для дублирования коммерческих систем - слишком много ложных срабатываний, и перестают обращать внимание на его алярмы вообще.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру