The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

26.02.2014 11:14  Компания Cisco открыла OpenAppID, систему выявления трафика приложений

Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort.

Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика применяется специальный препроцессор. Компания Cisco приветствует участие сообщества в развитии технологии OpenAppID, расширении базы детекторов и интеграции в сторонние открытые проекты функций фильтрации трафика уровня приложений.

Связанный с OpenAppID код открыт под лицензией GPLv2+ и уже включен в альфа-выпуск системы обнаружения атак Snort 2.9.7.0. На сайте Snort размещена библиотека, содержащая более полутора тысяч детекторов OpenAppID. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п. Кроме выявления отдельных приложений присутствуют детекторы обращений к группам сервисов, например, детекторы для сайтов разработчиков, web-служб Apple, файлообменников, облачных хранилищ, платформ для блоггеров, интернет-магазинов, платёжных систем и т.д.

  1. Главная ссылка к новости (http://blogs.cisco.com/securit...)
  2. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  3. OpenNews: Открытые проекты ClamAV и Snort перешли в руки компании Cisco
  4. OpenNews: Компания Cisco опубликовала исходные тексты видеокодека OpenH264
  5. OpenNews: Увидел свет свободный антивирусный пакет ClamAV 0.98
  6. OpenNews: Релиз системы обнаружения атак Snort 2.9.6.0
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openappid, snort, cisco, ips, ids, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, VolanD, 11:42, 26/02/2014 [ответить] [смотреть все]
  • +2 +/
    Вот это поворот, а в чем подвох?
     
     
  • 2.2, alecx_, 11:50, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    В стоимости подписки на обновления базы для IPS/IDS модулей.
     
     
  • 3.13, Аноним, 16:00, 26/02/2014 [^] [ответить] [смотреть все]
  • +2 +/
    Для IPS IDS акутальность базы действительно важна, а для детектора типа l7filter... весь текст скрыт [показать]
     
  • 1.3, sauron, 11:54, 26/02/2014 [ответить] [смотреть все]  
  • +4 +/
    С такой штукой можно вполне сделать очередной Железный Занавес.
     
     
  • 2.4, Аноним, 12:04, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Но и польза есть для ынтерпрайзов, например, выявление в ЛВС предприятий скайпик... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Fomalhaut, 14:15, 26/02/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    А сколько в головах сотрудников храниЦЦа И ведь может безконтрольно распростран... весь текст скрыт [показать]
     
     
  • 4.14, Аноним, 16:00, 26/02/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    > DLP

    Вы сделали три ошибки в слове "NDA".

     
     
  • 5.26, Аноним, 19:41, 26/02/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    А NDA на скайпики не распостраняется Если ты идиот - тебя хоть со скайпом уволя... весь текст скрыт [показать]
     
  • 4.50, Аноним, 12:02, 30/03/2014 [^] [ответить] [смотреть все]  
  • +/
    надёжнее после рабочего дня изымать у работника голову на проходной и выдавать е... весь текст скрыт [показать]
     
  • 2.36, Аноним, 05:05, 27/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да обычное противостояние брони и снаряда Вопрос в том кто первый задолбается -... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Xasd, 12:06, 26/02/2014 [ответить] [смотреть все]  
  • +8 +/
    интернетговнопровайдерам очень наверно понравится.

    можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).

    ну или новые говнотарифы придумают.

    всё это в итоге приведёт к тому что -- ВСЕ программу будут маскировать ЛЮБОЙ свой трафик -- как якобы это HTTP.

    а дальше всё по кругу ---- новые детекторы способные распозновать внутри HTTP-трафика трафик от других программ (не web-браузеров), блаблабла

     
     
  • 2.7, Okarin, 12:55, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А дальше SSL и VPN по паспорту.
     
  • 2.8, vitalif, 13:10, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У интернетговнопровайдеров это и так уже есть, от той же сиськи йоту например в... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Аноним, 16:02, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Сотовые операторы большой тройки уже давно так делают, чтобы не упускать прибыль... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, McLoud, 19:55, 27/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Откуда такая информация? у всех давно DPI стоит.
     
  • 2.18, ASIC, 16:12, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    интернет провайдерам это скорее понравится только вот применить продукт на базе ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, абыр, 17:23, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Такое впечатление что я читаю текст переведенный промптом.
     
     
  • 4.20, Аноним, 17:27, 26/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Просто у автора каша в голове. Не все умеют связно излагать свои мысли.
     
     
  • 5.32, ASIC, 23:52, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ответ полный аргументов Все так легко и просто ... весь текст скрыт [показать]
     
     
  • 6.35, Аноним, 00:54, 27/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Это были вообще не аргументы, а констатация того очевидного факта, что мысли у В... весь текст скрыт [показать]
     
     
  • 7.48, ASIC, 17:52, 27/02/2014 [^] [ответить] [смотреть все]  
  • +/
    почитайте мои комментарий чуть ниже может там понятнее написано о чем я ... весь текст скрыт [показать]
     
  • 4.29, Аноним, 20:40, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    А как это, переводить промПтом http en wikipedia org wiki List_of_DOS_command... весь текст скрыт [показать]
     
     
  • 5.31, ASIC, 23:51, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ответ полный аргументов. Все так легко и просто.
     
  • 5.38, dalco, 06:13, 27/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Эх, молодежь Истории не знаете Была такая прога-переводчик чуть ли еще не п... весь текст скрыт [показать]
     
     
  • 6.42, arisu, 15:29, 27/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    вот только называлась она не 171 промПт 187 , а 171 промт 187 , от 171 p... весь текст скрыт [показать]
     
  • 2.28, anonymous, 20:21, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Для этого уже есть DPI и приоритезация трафика ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Аноним, 05:06, 27/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Отсюда мораль начем арбузить HTTP Даже VoIP в него завернем А будет мало - до... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, ASIC, 12:50, 26/02/2014 [ответить] [смотреть все]  
  • +1 +/
    Все это хорошо только вот проблема что это только софт на мой взгляд Cisco проспала последние 5-6 лет в смысле разработки своих  ASIC -ов которые могли бы  распознавать  различные отпечатки программ в железе. На данный момент на западе(европа + US) существует только 3 компании у которых  боле или мене работающий продукт

    a) paloaltonetworks ( у них ASIC  от broadcom-a   они просто делают мирроринг всего трафика  это не совсем правильно и очен дорого)  
    b) extreme / enterasys (Purview)  -  ( у них свой собственнй ASIC  не от broadcom-a  который был разработан последние 7 лет именно для  выявления layer 7 в железе не в софте!!! )
    с)  Одной конторы которая просто напросто не продает свои разработки (custome ASIC).

    Cisco и Huawei работаю активно над layer 7  ASIC тока вот проедет как минимум года 3-4 года пока появится продукт которы способен на то что другие уже умеют. А софт это конечно хорошо но по пока это только PR.

     
     
  • 2.9, VolanD, 13:11, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален Эмм а SCE как же работает ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, ASIC, 13:32, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    это силикон которые не flow based a packet based Все ето packet Merchant... весь текст скрыт [показать]
     
  • 2.12, noASIC, 15:45, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Открою большой секрет, циски и всякие вендоры сами не разрабатывают АСИКи, они п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 16:05, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    это было секретом для кого то?
     
     
  • 4.17, Аноним, 16:12, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Наивные люди всегда найдутся.
     
  • 3.23, ASIC, 18:21, 26/02/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    это не совсем так Практически все компании Cisco HP, Broacade, juniper, Extrem... весь текст скрыт [показать]
     
  • 2.33, добрый аноним, 00:19, 27/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален У Fortinet свои ASIC ... весь текст скрыт [показать] [показать ветку]
     
  • 2.34, Аноним, 00:51, 27/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну сколько осталось тем ASIC ам - год, два Всем же понятно что SDN всех пожрёт ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Apple, 09:02, 27/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Интересно, а как SDN связан с ASIC Мне казалось, что SDN лишь оркестратор, саму... весь текст скрыт [показать]
     
  • 3.40, ASIC, 13:12, 27/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ASIC были последние 12 лет и они останутся очень долго с нами Сам факт что ко... весь текст скрыт [показать]
     
  • 1.21, cmp, 17:46, 26/02/2014 [ответить] [смотреть все]  
  • +/
    это как раз к новости про японский vpn, что недавно расшарили, который умеет косить под http, кстате давненько уже думаю о виртуальном сервачке где-нибудь в германии или какой банановой республике, чтобы туда шифрованный тунель, а оттуда чистый интернет с шахматами и поэтессами, чтобы не дорого, анонимно и стабильно, может кто поделится ссылочкой.
     
     
  • 2.25, Okarin, 19:35, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это что за чудо-впн такой? Германию, кстати, "нирекамендую".
     
     
  • 3.30, Аноним, 21:07, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    http://www.opennet.ru/opennews/art.shtml?num=38840
     
  • 1.22, Аноним, 17:52, 26/02/2014 [ответить] [смотреть все]  
  • +/
    Круто, а SSL оно умеет на лету взламывать?
     
     
  • 2.24, VolanD, 18:33, 26/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Круто, а SSL оно умеет на лету взламывать?

    А ей не надо взламывать, чтобы понять какой тип трафика там ) Это как с шифрованным торрентом )

     
     
  • 3.27, Аноним, 20:02, 26/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Компания Cisco открыла OpenAppID, систему выявления трафика ...... весь текст скрыт [показать]
     
  • 1.41, Аноним, 13:54, 27/02/2014 [ответить] [смотреть все]  
  • +/
    хорошая новость.
     
  • 1.51, svpv, 07:28, 14/08/2014 [ответить] [смотреть все]  
  • +/
    Циска - пиписка.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor