The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Cisco открыла OpenAppID, систему выявления трафика приложений

26.02.2014 11:14

Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort.

Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика применяется специальный препроцессор. Компания Cisco приветствует участие сообщества в развитии технологии OpenAppID, расширении базы детекторов и интеграции в сторонние открытые проекты функций фильтрации трафика уровня приложений.

Связанный с OpenAppID код открыт под лицензией GPLv2+ и уже включен в альфа-выпуск системы обнаружения атак Snort 2.9.7.0. На сайте Snort размещена библиотека, содержащая более полутора тысяч детекторов OpenAppID. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п. Кроме выявления отдельных приложений присутствуют детекторы обращений к группам сервисов, например, детекторы для сайтов разработчиков, web-служб Apple, файлообменников, облачных хранилищ, платформ для блоггеров, интернет-магазинов, платёжных систем и т.д.

  1. Главная ссылка к новости (http://blogs.cisco.com/securit...)
  2. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  3. OpenNews: Открытые проекты ClamAV и Snort перешли в руки компании Cisco
  4. OpenNews: Компания Cisco опубликовала исходные тексты видеокодека OpenH264
  5. OpenNews: Увидел свет свободный антивирусный пакет ClamAV 0.98
  6. OpenNews: Релиз системы обнаружения атак Snort 2.9.6.0
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/39194-openappid
Ключевые слова: openappid, snort, cisco, ips, ids, firewall
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, VolanD (ok), 11:42, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот это поворот, а в чем подвох?
     
     
  • 2.2, alecx_ (?), 11:50, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В стоимости подписки на обновления базы для IPS/IDS модулей.
     
     
  • 3.13, Аноним (-), 16:00, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В стоимости подписки на обновления базы для IPS/IDS модулей.

    Для IPS/IDS акутальность базы действительно важна, а для детектора типа l7filter - не особо (кроме случаев с часто меняющимися протоколами, как ICQ и Skype несколько лет назад).

     

  • 1.3, sauron (??), 11:54, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    С такой штукой можно вполне сделать очередной Железный Занавес.
     
     
  • 2.4, Аноним (-), 12:04, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Но и польза есть для ынтерпрайзов, например, выявление в ЛВС предприятий скайпиков. Скайпики - это потенциальна утечка корпоративной информации.
     
     
  • 3.11, Fomalhaut (?), 14:15, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А сколько в головах сотрудников храниЦЦа! И ведь может безконтрольно распространяться за пределали конторы. Непорядок! Надо между сотрудником и окружающей средой тоже модуль DLP поставить.
     
     
  • 4.14, Аноним (-), 16:00, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > DLP

    Вы сделали три ошибки в слове "NDA".

     
     
  • 5.26, Аноним (-), 19:41, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А NDA на скайпики не распостраняется? Если ты идиот - тебя хоть со скайпом уволят , хоть без.
    А прилада нужная. Именно выявлять и анализировать. Давить или поощрять пусть манагер думает, у него на то и репа шире  :)
     
  • 4.50, Аноним (-), 12:02, 30/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    надёжнее после рабочего дня изымать у работника голову на проходной и выдавать её утром.
     
  • 2.36, Аноним (-), 05:05, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С такой штукой можно вполне сделать очередной Железный Занавес.

    Да обычное противостояние брони и снаряда. Вопрос в том кто первый задолбается - програмер обфускатора или програмер детектора этого обфускатора.

     

  • 1.5, Xasd (ok), 12:06, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    интернетговнопровайдерам очень наверно понравится.

    можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).

    ну или новые говнотарифы придумают.

    всё это в итоге приведёт к тому что -- ВСЕ программу будут маскировать ЛЮБОЙ свой трафик -- как якобы это HTTP.

    а дальше всё по кругу ---- новые детекторы способные распозновать внутри HTTP-трафика трафик от других программ (не web-браузеров), блаблабла

     
     
  • 2.7, Okarin (ok), 12:55, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А дальше SSL и VPN по паспорту.
     
  • 2.8, vitalif (ok), 13:10, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У интернетговнопровайдеров это и так уже есть, от той же сиськи (йоту например взять)... правда, платное. :-)
     
  • 2.15, Аноним (-), 16:02, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > интернетгoвнопровайдерам очень наверно понравится.
    > можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).

    Сотовые операторы большой тройки уже давно так делают, чтобы не упускать прибыль из-за VoIP. Правда, обычно это делается достаточно тупо: все, что не по 80 порту - под рандомный дроп.

     
     
  • 3.49, McLoud (??), 19:55, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда такая информация? у всех давно DPI стоит.
     
  • 2.18, ASIC (ok), 16:12, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    интернет провайдерам это скорее понравится только вот применить продукт на базе софта для обработки например  40 или 100 Gb  трафика практически невозможно. Даже те продукты которые умеют обрабатывать до 9 мил. "flows" и более  в железе сталкиваются с 3 проблемами:

    а)  в момент когда происходит layer 1 "link down" link up" event все эти flows должны быть заново распознаны. А распознать flow можно обычно только в начале коммуникаций. это обычно первые несколько байт. Если исходит из того что трафик нельзя прервать то соответственно к огромной части трафика невозможно применит QOS.

    b) когда на одном линке больше чем 9 мил. "flows" тогда  главный процессор занимается только реконструкций "flows" и если OS не real time  и под менеджмент plain не отделен отдельный чип (что дорого) то тогда вся система становится не отзывчивой.

    с)  в момент когда происходит  layer 1 "link down" link up" event если нет failover route и cвитч является aggregation point + количество "flows" которые может обрабатывать железо oversubscribed то огромное количество "flows" должны быть распознаны в одну и туже секунду соответственно тут опять пункт а и б.

    Все эти flow based системы очень дорогие а большинство сервис провайдеров заинтересованы только в дешевых решениях.
    существуют решения всех этих проблем тока продукт уже становится не просто дорогой а супер дорогой и тогда возникает вопрос а кто готов вообще платить за все это. Плюс е тому на данный момент переход на WebSockets  и их шифрование по умолчанию ставят под вопрос нужны ли l7 switches eсли все ровно выше 4 уровня ничего де видно.


     
     
  • 3.19, абыр (ok), 17:23, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Такое впечатление что я читаю текст переведенный промптом.
     
     
  • 4.20, Аноним (-), 17:27, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто у автора каша в голове. Не все умеют связно излагать свои мысли.
     
     
  • 5.32, ASIC (ok), 23:52, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто у автора каша в голове. Не все умеют связно излагать свои
    > мысли.

    ответ полный аргументов. Все так легко и просто.

     
     
  • 6.35, Аноним (-), 00:54, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это были вообще не аргументы, а констатация того очевидного факта, что мысли у Вас, кажется, какие-то есть, только вот изложить их Вы неспособны по-человечески, в формате сколь-нибудь отличном от "потока сознания". Чего как бы несколько жаль.
     
     
  • 7.48, ASIC (ok), 17:52, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это были вообще не аргументы, а констатация того очевидного факта, что мысли
    > у Вас, кажется, какие-то есть, только вот изложить их Вы неспособны
    > по-человечески, в формате сколь-нибудь отличном от "потока сознания". Чего как бы
    > несколько жаль.

    почитайте мои комментарий чуть ниже может там понятнее написано о чем я

     
  • 4.29, Аноним (-), 20:40, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А как это, переводить промПтом? http://en.wikipedia.org/wiki/List_of_DOS_commands#PROMPT
     
     
  • 5.31, ASIC (ok), 23:51, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ответ полный аргументов. Все так легко и просто.
     
  • 5.38, dalco (ok), 06:13, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эх, молодежь... Истории не знаете. Была такая прога-переводчик (чуть ли еще не под ДОС). Переводила так, что и Комеди-клаба с КВНом не нужно было после прочтения переведенного текста :)
     
     
  • 6.42, arisu (ok), 15:29, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эх, молодежь… Истории не знаете. Была такая прога-переводчик

    вот только называлась она не «промПт», а «промт», от «project MT» — «project Machine Translation».

    таблеточки какие попей от склероза, что ли. и в дополнение — от желания «поучить молодёжь» таблеток не помешает.

     
  • 2.28, anonymous (??), 20:21, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > интернетгoвнoпровайдерам очень наверно понравится.
    > можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).
    > ну или новые гoвнoтарифы придумают.
    > всё это в итоге приведёт к тому что -- ВСЕ программу будут
    > маскировать ЛЮБОЙ свой трафик -- как якобы это HTTP.
    > а дальше всё по кругу ---- новые детекторы способные распозновать внутри HTTP-трафика
    > трафик от других программ (не web-браузеров), блаблабла

    Для этого уже есть DPI и приоритезация трафика.

     
  • 2.37, Аноним (-), 05:06, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).

    Отсюда мораль: начем арбузить HTTP. Даже VoIP в него завернем. А будет мало - добавим.

     

  • 1.6, ASIC (ok), 12:50, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все это хорошо только вот проблема что это только софт на мой взгляд Cisco проспала последние 5-6 лет в смысле разработки своих  ASIC -ов которые могли бы  распознавать  различные отпечатки программ в железе. На данный момент на западе(европа + US) существует только 3 компании у которых  боле или мене работающий продукт

    a) paloaltonetworks ( у них ASIC  от broadcom-a   они просто делают мирроринг всего трафика  это не совсем правильно и очен дорого)  
    b) extreme / enterasys (Purview)  -  ( у них свой собственнй ASIC  не от broadcom-a  который был разработан последние 7 лет именно для  выявления layer 7 в железе не в софте!!! )
    с)  Одной конторы которая просто напросто не продает свои разработки (custome ASIC).

    Cisco и Huawei работаю активно над layer 7  ASIC тока вот проедет как минимум года 3-4 года пока появится продукт которы способен на то что другие уже умеют. А софт это конечно хорошо но по пока это только PR.

     
     
  • 2.9, VolanD (ok), 13:11, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > b) extreme / enterasys (Purview)  -  ( у них свой
    > собственнй ASIC  не от broadcom-a  который был разработан последние
    > 7 лет именно для  выявления layer 7 в железе не
    > в софте!!! )
    > с)  Одной конторы которая просто напросто не продает свои разработки (custome
    > ASIC).
    > Cisco и Huawei работаю активно над layer 7  ASIC тока вот
    > проедет как минимум года 3-4 года пока появится продукт которы способен
    > на то что другие уже умеют. А софт это конечно хорошо
    > но по пока это только PR.

    Эмм..а SCE как же работает?

     
     
  • 3.10, ASIC (ok), 13:32, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это силикон которые не "flow based"  a packet based!!!. Все ето packet "Merchant" силикон которые делают мирроринг.
    Отличить "flow based" от packet based очент просто. Когда у вас "flow base" у вас все порты способны делать layer7 flow based!!! DPI . В таких продуктов в одном шасси могут быт более 400 потов.
    Когда у вам "packet based"/merchant asic то там обычно не боле 24-х портов которые способны рекоструировать flow и все ето мирроринг  а именно нагрузка на main cpu  огромная.

    существуют гибридные решения все это все примочки к за-е.

     
  • 2.12, noASIC (?), 15:45, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Открою большой секрет, циски и всякие вендоры сами не разрабатывают АСИКи, они просто покупают IP-core у других. Не кажется странным, что у всех вендров примерно один и тот же функционал железа?
     
     
  • 3.16, Аноним (-), 16:05, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это было секретом для кого то?
     
     
  • 4.17, Аноним (-), 16:12, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Наивные люди всегда найдутся.
     
  • 3.23, ASIC (ok), 18:21, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это не совсем так. Практически все компании  Cisco HP, Broacade, juniper, Extreme /Enterasys , Huaway , Avaya пользуют "Merchant" ASIC  на базе Broadcom или  Marvell в большинство  продуктов, но некоторы из них также начали свой собственные разработки силикона которые выполняет специфические функций. Сisсо начали RD  недавно,  у ниx до сих пор нет ни одного продукта который flow based в железе. Первые которые начал работать над сustome flow based asic (за исключении правительственных организаций) были cabletron и это было 10 лет назад. Сегодня тот самы ASIC интегрирован в S и K series продуктов enetrasys/extreme.
     
  • 2.33, добрый аноним (?), 00:19, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > b) extreme / enterasys (Purview)  -  ( у них свой
    > собственнй ASIC  не от broadcom-a  который был разработан последние
    > 7 лет именно для  выявления layer 7 в железе не
    > в софте!!! )
    > с)  Одной конторы которая просто напросто не продает свои разработки (custome
    > ASIC).
    > Cisco и Huawei работаю активно над layer 7  ASIC тока вот
    > проедет как минимум года 3-4 года пока появится продукт которы способен
    > на то что другие уже умеют. А софт это конечно хорошо
    > но по пока это только PR.

    У Fortinet свои ASIC


     
  • 2.34, Аноним (-), 00:51, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну сколько осталось тем ASIC'ам - год, два? Всем же понятно что SDN всех пожрёт.

    По поводу мирроринга трафика - ASIC'ами что угодно дорого кроме майнинга биткойнов, ну вон хоть на тот же ntop посмотрите - чисто софт, убогая стандартная 1U коробка за копейки пишет на диск 10-12 Mpps совершенно спокойно безо всяких ASIC'ов. А SolarFlare'овский WAF так и вообще на Lua.

    Есть интересные и комбинированные решения - у Аристы например. Только там ПЛИС в качестве ускорителя отдельных частей софта, а в базе - тот же софт.

    Так что гранды "сетевого оборудования"(устаревш.) могут пилить свои ASIC'и в последнем приступе агонии, конечно, но осталось им недолго уже.

     
     
  • 3.39, Apple (?), 09:02, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересно, а как SDN связан с ASIC? Мне казалось, что SDN лишь оркестратор, саму работу по передачи трафика выполняет устройство.
     
  • 3.40, ASIC (ok), 13:12, 27/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ASIC были последние 12 лет и они останутся очень долго с нами Сам факт что ко... большой текст свёрнут, показать
     

  • 1.21, cmp (ok), 17:46, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это как раз к новости про японский vpn, что недавно расшарили, который умеет косить под http, кстате давненько уже думаю о виртуальном сервачке где-нибудь в германии или какой банановой республике, чтобы туда шифрованный тунель, а оттуда чистый интернет с шахматами и поэтессами, чтобы не дорого, анонимно и стабильно, может кто поделится ссылочкой.
     
     
  • 2.25, Okarin (ok), 19:35, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это что за чудо-впн такой? Германию, кстати, "нирекамендую".
     
     
  • 3.30, Аноним (-), 21:07, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=38840
     

  • 1.22, Аноним (-), 17:52, 26/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто, а SSL оно умеет на лету взламывать?
     
     
  • 2.24, VolanD (ok), 18:33, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Круто, а SSL оно умеет на лету взламывать?

    А ей не надо взламывать, чтобы понять какой тип трафика там ) Это как с шифрованным торрентом )

     
     
  • 3.27, Аноним (-), 20:02, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Круто, а SSL оно умеет на лету взламывать?
    > А ей не надо взламывать, чтобы понять какой тип трафика там )
    > Это как с шифрованным торрентом )
     

  • 1.41, Аноним (-), 13:54, 27/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хорошая новость.
     
  • 1.51, svpv (?), 07:28, 14/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Циска - пиписка.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру