URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 93725
[ Назад ]
Исходное сообщение
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено opennews , 27-Янв-14 13:19 
Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=139051027212718&w=2) новый значительный релиз Snort 2.9.6.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:


-  Добавлена возможность захвата и сохранения файлов, передаваемых с использованием  протоколов HTTP, FTP, SMTP, POP, IMAP и SMB;
-  В препроцессоре DCERPC реализована поддержка специфичной обработки файлов, передаваемых через SMB;
-  В используемой в правилах опции byte_test добавлена поддержка операторов  ">="  и "<=";
-  Поддержка выявления проводимых по SMTP атак, связанных с аутентификацией в Cyrus SASL;
-  Поддержка захвата полного сеанса, от начала и до конца;
-  Экспериментальная поддержка использования  в правилах snort определения типа файла;
-  Улучшена поддержка протоколов  SMTP, POP и IMAP.

URL: http://marc.info/?l=snort-devel&m=139051027212718&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=38940

Содержание
Сообщения в этом обсуждении
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Perain , 27-Янв-14 14:21 
Сурикат бесплатный и получше

http://www.openinfosecfoundation.org/index.php/download-suri...

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 28-Янв-14 06:40 
> Windows (win32) installer:

Поржал

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Куяврег , 27-Янв-14 15:03 
> Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB;

лёгким движением IDS превращается... превращается... превращается  IDS...

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 27-Янв-14 22:02 
Оружие - оно не оружие обороны или нападения. Оно просто оружие. Обороняться или нападать - это решает тот кто его взял в руки. Так всегда было и так всегда будет.
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 27-Янв-14 23:47 
> лёгким движением IDS превращается... превращается... превращается  IDS...

Для превращения в полноценную DLP одной такой функции недостаточно. Нужны еще очень хитрые алгоритмы анализа трафика, куда более хитрые, чем в IDS. Потому что при обмене человек-человек хитростей может быть куда больше, чем при обмене программа-программа.

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 27-Янв-14 16:00 
Все это интегрировано в дистрибутив Zentyal .
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено hummermania , 27-Янв-14 19:09 
А мужики то и не в курсе http://www.snort.org/snort-downloads/additional-downloads
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено PavelR , 27-Янв-14 17:13 

А есть какой-то софт, который умеет детектировать аномалии вида "при авторизации пользователя его IP принадлежит неподходящей стране /страна/город/провайдер резко поменялись и т п". ?

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Andrey , 27-Янв-14 19:31 
Посмотрите в сторону SIEM-систем. Из бесплатных OSSIM, условно бесплатный Splunk (ограничение в 500 Мб логов в день).
"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 28-Янв-14 12:13 
> условно бесплатный

Неприемлемо

"Релиз системы обнаружения атак Snort 2.9.6.0"
Отправлено Аноним , 28-Янв-14 12:11 
MyDLP