URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 62592
[ Назад ]

Исходное сообщение
"Suricata - новая открытая система обнаружения атак"
Отправлено opennews , 01-Янв-10 22:15

После трех лет разработки объединение OISF (http://openinfosecfoundation.org/) (Open Information Security Foundation) начало (http://www.openinfosecfoundation.org/index.php/component/con...) бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS (http://openinfosecfoundation.org/index.php/download-suricata), базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.

Особенности Suricata:

- Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
- Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без п...
URL: http://seclists.org/snort/2009/q4/599
Новость: https://www.opennet.ru/opennews/art.shtml?num=24877

Содержание

Suricata - новая открытая система обнаружения атак,Аноним, 22:15 , 01-Янв-10
- Suricata - новая открытая система обнаружения атак,uldus, 23:09 , 01-Янв-10
  - Suricata - новая открытая система обнаружения атак,User294, 16:36 , 02-Янв-10
    - Suricata - новая открытая система обнаружения атак,Karpion, 21:56 , 02-Янв-10
      - Suricata - новая открытая система обнаружения атак,andrek, 05:14 , 03-Янв-10
        
        Suricata - новая открытая система обнаружения атак,artem, 05:53 , 22-Июл-10
  - Suricata - новая открытая система обнаружения атак,sHaggY_caT, 20:06 , 02-Янв-10
    - Suricata - новая открытая система обнаружения атак,Anonym, 13:01 , 03-Янв-10
      - Suricata - новая открытая система обнаружения атак,Anonymousapiens, 18:02 , 03-Янв-10
Suricata - новая открытая система обнаружения атак,Аноним, 13:12 , 02-Янв-10
ммм,Александр Лейн, 01:59 , 03-Янв-10
Suricata - новая открытая система обнаружения атак,stranger, 11:20 , 03-Янв-10
Suricata - новая открытая система обнаружения атак,pavlinux, 02:38 , 04-Янв-10
Suricata - новая открытая система обнаружения атак,pavlinux, 03:10 , 04-Янв-10
Suricata - новая открытая система обнаружения атак,Аноним, 19:39 , 27-Янв-10

Сообщения в этом обсуждении

"Suricata - новая открытая система обнаружения атак"
Отправлено Аноним , 01-Янв-10 22:15

"блокировать HTTP трафик на нестандартном порту"
Я так и не понял?

"Suricata - новая открытая система обнаружения атак"
Отправлено uldus , 01-Янв-10 23:09

>"блокировать HTTP трафик на нестандартном порту"
>Я так и не понял?
Допустим очередной троян на машине локальной сети поднимает http-сервер для раздачи копий вредоносного ПО на 3456 порту. Иногда очень удобно блокировать именно по типу протокола, а не по номерам портов.

"Suricata - новая открытая система обнаружения атак"
Отправлено User294 , 02-Янв-10 16:36

Можно подумать что троянов пишут дебилы которые не придумают еще три зиллиона уловок если вдруг такие системы станут массовыми. На%$#ть можно любой файрвол. Ну разве что миллион китайцев посадить и заставить парсить HTTP запросы лично, всыпая палок за ошибки. Тогда может и прокатит.

"Suricata - новая открытая система обнаружения атак"
Отправлено Karpion , 02-Янв-10 21:56

Вы удивитесь, но спамеры до сих пор не преодолели защиту серыми списками, когда письмо принимается не с первого раза, а через заданный промежуток времени. Так что даже простейшая защита часто очень сильно помогает.

"Suricata - новая открытая система обнаружения атак"
Отправлено andrek , 03-Янв-10 05:14

мля.. от этой вашей защиты больше страдают юзеры, на собственной шкуре чувствую.. постоянно приходится пересылать вручную

"Suricata - новая открытая система обнаружения атак"
Отправлено artem , 22-Июл-10 05:53

А ты в лог заглядывал? Эти самы страдающие дебилы-юзеры регяться на всех тупых соц-сетях и порно-сайтах с корпоративными мыльями и им потом тоннами срань на ящики сыпется. Половина, если не больше писем из вне - спам, отсекаемый грей-листом.

"Suricata - новая открытая система обнаружения атак"
Отправлено sHaggY_caT , 02-Янв-10 20:06

Такое лучше решать через SELinux

"Suricata - новая открытая система обнаружения атак"
Отправлено Anonym , 03-Янв-10 13:01

Предлагаете ставить SeLinux на седьмую винду секретаршам?

"Suricata - новая открытая система обнаружения атак"
Отправлено Anonymousapiens , 03-Янв-10 18:02

А зачем секретаршам седьмая винда?

"Suricata - новая открытая система обнаружения атак"
Отправлено Аноним , 02-Янв-10 13:12

чет я не понял..там сигнатуры от снорта?

"ммм"
Отправлено Александр Лейн , 03-Янв-10 01:59

интересный подход. уже не асид со снортом. хочется уже обкатать =)

"Suricata - новая открытая система обнаружения атак"
Отправлено stranger , 03-Янв-10 11:20

Название прикольное :)

"Suricata - новая открытая система обнаружения атак"
Отправлено pavlinux , 04-Янв-10 02:38

А где брать classification.config, и все rule-files: *.rules

"Suricata - новая открытая система обнаружения атак"
Отправлено pavlinux , 04-Янв-10 03:10

В общам так, установку надо допиливать руками.
Rules_ы качаются с сайтa SNORT
Кому лень, впадлу, и т.п.
# mkdir -p /var/log/suricata
# cd /tmp
# wget http://pavlinux.ru/tmp/suricata.configs.tar.bz2
# tar xvf suricata.configs.tar.bz2 -C /etc
# suricata -c /etc/suricata/suricata.yaml -i eth0

"Suricata - новая открытая система обнаружения атак"
Отправлено Аноним , 27-Янв-10 19:39

А еще лучше поставить ПО контролирующее и трафик и порты-) , например TraffPro тоже. И порты сами разруливайте и отчеты есть, чтоб видеть кто что поднимает