Релиз системы обнаружения атак Snort 2.8.6

28.04.2010 16:13

Увидел свет релиз свободной системы обнаружения и предотвращения атак Snort 2.8.6, комбинирующий в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

Система инспекции протокола HTTP разделена на 5 компонентов: Method, URI, Header (без учета cookie), Cookies и Body. При построении контентных и PCRE-правил теперь можно осуществлять поиск по одному или нескольким вышеперечисленным буферам. Добавлены новые параметры конфигурации, направленные на нормализацию HTTP-заголовков и содежимого cookies. Реализована поддержка декомпрессии фигурирующих в нескольких пакетах данных, сжатых методом gzip.
Добавлен "чуткий" предварительный обработчик данных (Sensitive Data preprocessor), осуществляющий определение фактов присутствия персональных идентификационных данных в потоке трафика (Personally Identifiable Information, PII). Добавлена поддержка создания правил, позволяющих определить новые типы PII.
Добавлен новый движок сравнения по шаблонам и связанные с ним директивы конфигурирования. В новом движке удалось достичь значительно снижения потребления памяти и повышения скорости обработки шаблонов.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26416-Snort

Ключевые слова: Snort, ids, ips

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, chemtech (ok), 21:11, 28/04/2010 [ответить]	+/–
Кстати, Форпост это тот же Snort. Про Форпост: http://www.securitylab.ru/forum/forum24/topic22103/ " Это бесплатный снорт в чужой оболочке прошедший сертификацию Гостехкомиссии, за что берут немалые деньги. "

2.2, filosofem (ok), 23:14, 28/04/2010 [^] [^^] [^^^] [ответить]	+/–
Исходники есть на Форпост? IDS, прошедшая сертификацию должна быть напичкана бэкдорами по самые помидоры. Подозреваю, что в связи с этим исходники не показывают, правда не понятно как это стыкуется с GPL лицензией снорта.

3.3, Аноним (3), 05:47, 29/04/2010 [^] [^^] [^^^] [ответить]	+/–
От куда такие сведения что прошедшее сертификацию должно быть напичкано бэкдорами ??? Можно по подробнее

4.5, Touch (??), 15:40, 29/04/2010 [^] [^^] [^^^] [ответить]	+/–
От верблюда! Где исходники ?!!!

5.7, Aleksey (??), 17:10, 30/04/2010 [^] [^^] [^^^] [ответить]	+/–
Вы сначала его купите, а потому требуйте исходники.

6.8, chemtech (ok), 17:45, 30/04/2010 [^] [^^] [^^^] [ответить]	+/–
>Вы сначала его купите, а потому требуйте исходники. А разве ПО, прошедшее сертификацию, выдают/выкладывают исходники (купленное)?

1.4, vovan (??), 11:32, 29/04/2010 [ответить]	+/–
когда в портах обновят? а то патч предыдущий ручками крутить приходится... а тут как раз обновление наступило.

1.6, Аноним (-), 07:40, 30/04/2010 [ответить]

+/–

>Кстати, Форпост это тот же Snort.

"Муха - тоже вертолёт, только маленький ещё"

Представь себе, что тебе предлагают купить "всеволновый интернет-приёмник" в запечатанной коробке на пустыре за килобакс. На вопросы: "А что там внутри", - отвечают: "За килобакс".

Купишь?

1.9, Аноним (-), 22:23, 30/04/2010 [ответить]	+/–
Ждём поддержку подключения плагином Clamav для Snort )

Добавить комментарий

Текст: