The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз системы обнаружения атак Snort 2.9.16.0

13.04.2020 21:15

Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

В новом выпуске реализован режим раннего инспектирования HTTP-данных, работающий на этапе до срабатывания обычных обработчиков. Для активации режима следует использовать опцию fast_blocking в блоке настроек инспектирования http. Кроме того в новом выпуске обеспечена нормализация в UTF-8 случайно закодированных нулевых значений в ответах HTTP-сервера, а также добавлена поддержка Glibc 2.30 и 64-разрядных Windows 10.

  1. Главная ссылка к новости (https://blog.snort.org/2020/04...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.9.15.0
  3. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
  4. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
  5. OpenNews: Выпуск анализатора трафика Zeek 3.0.0
  6. OpenNews: Доступна система обнаружения атак Suricata 5.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/52729-snort
Ключевые слова: snort, ids
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:13, 13/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
     
     
  • 2.4, pin (??), 00:09, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И у snort проблемы с производительностью.

    Вам опять же показалось.

     
  • 2.6, Аноним (-), 02:38, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А для дома эта штука пригодится?
     
     
  • 3.8, Аноним (1), 07:46, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
     

  • 1.2, Аноним (-), 22:30, 13/04/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     
  • 1.3, Аноним (3), 00:04, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
     
  • 1.5, Аноним (5), 01:37, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
     
     
  • 2.7, www2 (??), 07:16, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
     
     
  • 3.14, Аноним84701 (ok), 12:53, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это что за система такая, которую настолько просто взломать, что её нужно
    > в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
    > увидишь предупреждение? Успеешь сетевой шнурок выдернуть?

    Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
    Ну и не щелкать клювом!
    http://db0smg.de/software/ftp/windows/internet/zonealarm/help/images/active_p
    http://db0smg.de/software/ftp/windows/internet/zonealarm/help/images/security

    Если что, есть оригинал, умевший все это давным-давно
    *копается в цифровой мусор^W кладовке*



    -rw-r-----  1 Аноним  Аноним   1,7M 27 дек.   2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE



    а не эти ваши новомодные смузи-каты!

     
  • 2.9, Andrey (??), 09:19, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
    > мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
    > ты должен постоянно смотреть в логи, а если вдруг расслабился и
    > решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
    > ни логов, ни системы?

    Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
    Это комплексная защита периметра, а не десктопное приложение для админов localhost.

     
     
  • 3.10, нах. (?), 10:01, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы бл@ство с разнообразием-то не путайте.

    Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.

    И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.

    А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.

    Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.

     
     
  • 4.19, fff (??), 15:50, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
    Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
     
     
  • 5.20, нах. (?), 17:15, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я тебе этот ip и без суперсистемы продиктую, записывай 0 0 0 0 0 А если твоя си... большой текст свёрнут, показать
     
  • 5.21, Аноним (21), 17:18, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    fail2ban уже "изобрели"
     
  • 4.29, васян (?), 09:39, 15/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А что в 2k20 делать

    Вы там в 2200 совсем отупели?

     
  • 2.11, suricatamaster (?), 11:17, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow
     
  • 2.27, bobr (?), 02:40, 15/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта штука не для десктопов. Тебе она не понадобится. Точно.
     

  • 1.12, Урри (?), 12:43, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
     
     
  • 2.13, Аноним (13), 12:51, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
     
     
  • 3.23, Урри (?), 18:27, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, гляну.
     
     
  • 4.24, Урри (?), 18:37, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поставил, работает.
     
     
  • 5.25, Валик (?), 19:25, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > поставил

    не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
    iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
    iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
    возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
    так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
    и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

     
     
  • 6.26, Урри (?), 22:32, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > возможно придется подтюнить ... делается это через передачу параметра ядру

    Спасибо, мне чтобы работало, а не потрaхаться.
    Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.

    > хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.

    это есть.

    > и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

    Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
    Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.

    Found 123.206.90.149 - 2020-04-14 22:24:03
    Found 123.206.90.149 - 2020-04-14 22:24:05
    Found 49.234.44.48 - 2020-04-14 22:24:18
    Ban 49.234.44.48
    Found 49.234.44.48 - 2020-04-14 22:24:20
    Found 91.225.77.52 - 2020-04-14 22:24:33
    Found 91.225.77.52 - 2020-04-14 22:24:35

     
     
  • 7.28, Валик (?), 03:33, 15/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
    ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
     
  • 2.18, нах. (?), 14:29, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
    > пароли к ссш подобрать в локалочке?

    ufw deny in from 172.16.0.0/12 ssh  - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок

    Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?

    А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.

     
     
  • 3.22, Урри (?), 18:17, 14/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).

    А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.

     

  • 1.15, Аноним (15), 13:45, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Компания Cisco опубликовала

    А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?

    Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.

     
  • 1.16, suricatamaster (?), 14:11, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    шикарный ui https://github.com/robcowart/synesis_lite_snort
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру