После трех лет разработки объединение OISF (http://openinfosecfoundation.org/) (Open Information Security Foundation) начало (http://www.openinfosecfoundation.org/index.php/component/con...) бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS (http://openinfosecfoundation.org/index.php/download-suricata), базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.
Особенности Suricata:
- Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
- Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без п...URL: http://seclists.org/snort/2009/q4/599
Новость: http://www.opennet.me/opennews/art.shtml?num=24877
"блокировать HTTP трафик на нестандартном порту"
Я так и не понял?
>"блокировать HTTP трафик на нестандартном порту"
>Я так и не понял?Допустим очередной троян на машине локальной сети поднимает http-сервер для раздачи копий вредоносного ПО на 3456 порту. Иногда очень удобно блокировать именно по типу протокола, а не по номерам портов.
Можно подумать что троянов пишут дебилы которые не придумают еще три зиллиона уловок если вдруг такие системы станут массовыми. На%$#ть можно любой файрвол. Ну разве что миллион китайцев посадить и заставить парсить HTTP запросы лично, всыпая палок за ошибки. Тогда может и прокатит.
Вы удивитесь, но спамеры до сих пор не преодолели защиту серыми списками, когда письмо принимается не с первого раза, а через заданный промежуток времени. Так что даже простейшая защита часто очень сильно помогает.
мля.. от этой вашей защиты больше страдают юзеры, на собственной шкуре чувствую.. постоянно приходится пересылать вручную
А ты в лог заглядывал? Эти самы страдающие дебилы-юзеры регяться на всех тупых соц-сетях и порно-сайтах с корпоративными мыльями и им потом тоннами срань на ящики сыпется. Половина, если не больше писем из вне - спам, отсекаемый грей-листом.
Такое лучше решать через SELinux
Предлагаете ставить SeLinux на седьмую винду секретаршам?
А зачем секретаршам седьмая винда?
чет я не понял..там сигнатуры от снорта?
интересный подход. уже не асид со снортом. хочется уже обкатать =)
Название прикольное :)
А где брать classification.config, и все rule-files: *.rules
В общам так, установку надо допиливать руками.
Rules_ы качаются с сайтa SNORTКому лень, впадлу, и т.п.
# mkdir -p /var/log/suricata
# cd /tmp
# wget http://pavlinux.ru/tmp/suricata.configs.tar.bz2
# tar xvf suricata.configs.tar.bz2 -C /etc
# suricata -c /etc/suricata/suricata.yaml -i eth0
А еще лучше поставить ПО контролирующее и трафик и порты-) , например TraffPro тоже. И порты сами разруливайте и отчеты есть, чтоб видеть кто что поднимает