OpenForum RSS: Релиз системы обнаружения атак Snort 2.9.12.0 https://www.opennet.me/openforum/vsluhforumID3/115567.html Компания Cisco опубликовала (https://blog.snort.org/2018/10/snort-29120-has-been-released.html) релиз Snort 2.9.12.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.<br><br><br><br>Основные новшества:<br><br><br>- Реализовано извлечение IP-адреса и порта туннеля при разборе запросов, использующих метод "HTTP CONNECT";<br>- Обеспечен вывод предупреждений и восстановление неразрывной структуры запросов и ответов, в которых используется HTTP/1.0 и режим кусочной передачи ("Transfer-Encoding: chunked", появился в спецификации HTTP/1.1 и не должен использоваться в сеансах, заявленных как HTTP/1.0);<br>- Улучшен код для обнаружения и обработки протокола SMB;<br>- Улучшено обнаружение сеансов BitTorrent, в которых характерные для данного протокола метки появляются только в третьем сетевом пакете.<br><br><br><br>URL: https://lists.snort.org/pipermail/snort-users/2018-October/071798.html<br>Н Релиз системы обнаружения атак Snort 2.9.12.0 (Аноним) https://www.opennet.me/openforum/vsluhforumID3/115567.html#21 Fri, 12 Oct 2018 20:22:51 GMT а удалить из доверенных корпоротивный сертификат религия не позволяет?<br>а поставить вирутальную машину и серфить оттуда?<br><br>вопрос только в том, что вы будете делать, если они терминируют соединение.<br>ну узнали вы что сертификат левый, а дальше то что?<br>без VPN никуда..<br> Релиз системы обнаружения атак Snort 2.9.12.0 (пох) https://www.opennet.me/openforum/vsluhforumID3/115567.html#20 Fri, 12 Oct 2018 18:45:37 GMT наоборот, проще - гугль отменил pkp в браузере. В смысле , при открытии страниц, конечно, а не при слитии телеметрии.<br><br>ручное сопоставление тоже не работает - слава летсшиткрипту, с его ежедневным обновлением сертификатов, и героической пое6де над конкурентами.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (Аноним) https://www.opennet.me/openforum/vsluhforumID3/115567.html#19 Fri, 12 Oct 2018 18:06:32 GMT Что тебе рута даст, что бы что то повешать.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (commiethebeastie) https://www.opennet.me/openforum/vsluhforumID3/115567.html#18 Fri, 12 Oct 2018 17:09:47 GMT Ключевое слово была, в 2018 году подменять сертификат стало сложнее. Год, два и быдлоадмины про это забудут.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (Fyj) https://www.opennet.me/openforum/vsluhforumID3/115567.html#17 Fri, 12 Oct 2018 15:43:53 GMT Реальная - это та к которой ты не подготовился. А вообще этим должны зниматься профи в крупных шарагах, что собирают инфу об атаках со всего мира, а не админы на местах.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (dmg) https://www.opennet.me/openforum/vsluhforumID3/115567.html#16 Fri, 12 Oct 2018 14:31:08 GMT у меня на одной работе была подмена сертификата на 443 порту на корпоративный, чтобы инспекция работала..<br><br>и как, подскажите, это обойти вашим гениальным способом?<br> Релиз системы обнаружения атак Snort 2.9.12.0 (BrainFucker) https://www.opennet.me/openforum/vsluhforumID3/115567.html#15 Fri, 12 Oct 2018 13:24:09 GMT &gt; Можно лишить премии,<br><br>Это и есть штраф.<br><br>&gt; но это делается приказом, и у него должны быть обоснования <br><br>Ну так не проблема изначально в правилах и договоре прописать.<br><br>&gt; А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.<br><br>Учёт трафика так сложно? А админу проверить комп работника не проблема, в случае подозрений. <br><br>Так-то достаточно запретов с вероятностью лишения премии чтобы большинство даже не думало о нарушениях.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (пох) https://www.opennet.me/openforum/vsluhforumID3/115567.html#14 Fri, 12 Oct 2018 13:11:20 GMT нет, он систему "обнаружения атак" характеризует. К сожалению. Собственно, перечитай новость, а не комментарии.<br><br>Может на коммерческих ruleset'ах и можно куда-то недалеко уехать со снортом, а на стандартных вообще ловить нечего - оно обнаружит только то, что вообще никому неинтересно.<br><br>На практике его не получается использовать даже для дублирования коммерческих систем - слишком много ложных срабатываний, и перестают обращать внимание на его алярмы вообще.<br> Релиз системы обнаружения атак Snort 2.9.12.0 (пох) https://www.opennet.me/openforum/vsluhforumID3/115567.html#13 Fri, 12 Oct 2018 13:06:35 GMT &gt; можно просто посмотреть на излишне большой расход трафика,<br><br>это в твоем подвальчике только можно. А в конторе, где пользователей первые тысячи - уже нельзя, за всеми не насмотришься.<br>А бывают конторы - с десятками тысяч.<br>Штрафы, кстати, тоже нельзя, придет трудинспекция, сделает бо-бо. Можно лишить премии, но это делается приказом, и у него должны быть обоснования - а не "ты куда-то там посмотрел и чего-то понарешал".<br><br>Ну да, по хорошему, нехрен при таких масштабах ит-бузинеса экономить на современном файрволе. А на практике - именно у таких и будет линукс с iptables вместо хотя бы и несовременного.<br><br>Ну и снорт поверх всего этого, в виде особой вишенки на вафельном тортике от кого-то особо продвинутого из ИБ отдела (или из ИТ, если ИБ вообще не предусмотрена бюджетом)<br><br>