Глен Финк (Glen Fink) из команды исследователей Министерва энергетики США, представил (http://www.eweek.com/c/a/Enterprise-Networking/New-Security-.../) инструмент для исследования безопасности Hone (https://github.com/HoneProject), предназначенный для глубокого и детального исследования сетевой активности внутри крупных компьютерных систем. По словам создателя, инструмент способен дать администраторам более полную картину взаимосвязей между сетевыми пакетами, чем обычные средства исследования сетевой активности.
Главная идея Hone (HOst-NEtwork) - дать наглядное представление взаимосвязей между машинами, приложениями и подозрительными пакетами, обнаруженными внутри сети. Hone позволяет сгенерировать графическое представление этих взаимосвязей, благодаря которому можно без труда найти источник проблемы, проследив путь трафика от машины назначения к источнику, приложению и конкретному процессу, сгенерировавшему пакеты.
Hone реализован в виде сетевого сенсора, использующего функциональность подсистемы Linux Netfilter. Его ядро состоит из нескольких модулей, которые регистрируют функции обратного вызова на цепочках INPUT и OUTPUT, собирая информацию о каждом пришедшем и покинувшем машину пакете. Эта информация связывается с данными о процессе, участвующем в обмене пакетами и направляется в файл /dev/hone в виде простого текста или в формате PCAP-NG, который можно проанализировать с помощью таких инструментов как Wireshark.
В данный момент в публичном доступе (https://github.com/HoneProject/Linux-Sensor) находится только сам сенсор (код под лиценизией GPL), более высокоуровневые компоненты Hone не открыты и более детальная информация о них недоступна. Тем не менее, доступные наработки проекта уже используются в Тихоокеанской северо-западной национальной лаборатории для выявления возможных угроз.
URL: http://www.eweek.com/c/a/Enterprise-Networking/New-Security-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=33631
Я конечно чрезвычайно рад за тихоокеанскую северо-западную национальную лабораторию и их беспрецедентный уровень секурити, но при таком подходе мне то что с того :-?
при каком подходе?
> при каком подходе?"код есть и работает, но мы вам его не дадим. Проприетарщики мы"
Все нормально. Программу то тебе дают бесплатно?
Откроют код и хакеры научатся обходить сабж ))
>...Все нормально. Программу то тебе дают бесплатно?...Хавай то, что дали!!!
Победное шествие Идеи "зверь-сиди" по планете!Хомячок, опомнись, пока не стал барашком...
Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?
А Вы что, хотите, чтоб root не знал что на машине происходит? Для предоставления максимально полной свободы (сладкое слово?) хакерам, админу следует сделать себе шел false и группу nobody. Харакири по вкусу.
Теперь? А какие проблемы с отслеживанием трафика конкретного приложения были до этого?
Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.
Например, запущено у меня два почтовых клиента и я хочу знать сколько каждый хавает трафика, именно в разрезе этих двух приложений-клиентов, а не почтовых серверов, на которые настроены учётки.
> Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям....берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
It is just work.
Расширение работает с INPUT?
>Расширение работает с INPUT?Нет. И с png тоже. А Hone работает с INPUT?
Я не знаю.
-m owner поддерживает только --uid-owner и --gid-owner.
Где тут фильтр по приложениям?
> -m owner поддерживает только --uid-owner и --gid-owner.
> Где тут фильтр по приложениям?--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)
> Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?Да давно уже можно было, блин RTFM!
man iptables
owner
This module attempts to match various characteristics of the packet
creator, for locally-generated packets. It is only valid in the OUTPUT
chain, and even this some packets (such as ICMP ping responses) may
have no owner, and hence never match.--uid-owner userid
Matches if the packet was created by a process with the given
effective user id.--gid-owner groupid
Matches if the packet was created by a process with the given
effective group id.--pid-owner processid
Matches if the packet was created by a process with the given
process id.--sid-owner sessionid
Matches if the packet was created by a process in the given ses-
sion group.--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)
Это вы с каких годов хаутушки копипастили?
cmd-owner с 2.6.15 не работает, хватит ним трясти.
В чем новость-то? В том, что запилили очередной сенсор трафика? Так на базе netfilter это любой студент сможет, всего пара стандартных хуков.
Не, в том, что не просто запилили, а еще и закрыли, сказали, что работает система просто супер, но ее ни кому не дадут.
Таки патентным троллингом попахивает =//
> Не, в том, что не просто запилили, а еще и закрыли, сказали,
> что работает система просто супер, но ее ни кому не дадут.Это любой студент второго курса (айтишной специальности, более-менее приличного вуза) может запилить. Так об чем новость?
> Это любой студент второго курса (айтишной специальности, более-менее приличного вуза)
> может запилить.Разумеется, так чтобы работало. И под какой угодно лицензией.
...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
It is just work.
Ну не второй, 4-5 минимум.
> Это любой студент
> может запилить. Так об чем новость?В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...
>> Это любой студент
>> может запилить. Так об чем новость?
> В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...Пила 0xFF ? :))