Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=139051027212718&w=2) новый значительный релиз Snort 2.9.6.0 (http://www.snort.org), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.Основные новшества:
- Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB;
- В препроцессоре DCERPC реализована поддержка специфичной обработки файлов, передаваемых через SMB;
- В используемой в правилах опции byte_test добавлена поддержка операторов ">=" и "<=";
- Поддержка выявления проводимых по SMTP атак, связанных с аутентификацией в Cyrus SASL;
- Поддержка захвата полного сеанса, от начала и до конца;
- Экспериментальная поддержка использования в правилах snort определения типа файла;
- Улучшена поддержка протоколов SMTP, POP и IMAP.URL: http://marc.info/?l=snort-devel&m=139051027212718&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=38940
Сурикат бесплатный и получшеhttp://www.openinfosecfoundation.org/index.php/download-suri...
> Windows (win32) installer:Поржал
> Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB;лёгким движением IDS превращается... превращается... превращается IDS...
Оружие - оно не оружие обороны или нападения. Оно просто оружие. Обороняться или нападать - это решает тот кто его взял в руки. Так всегда было и так всегда будет.
> лёгким движением IDS превращается... превращается... превращается IDS...Для превращения в полноценную DLP одной такой функции недостаточно. Нужны еще очень хитрые алгоритмы анализа трафика, куда более хитрые, чем в IDS. Потому что при обмене человек-человек хитростей может быть куда больше, чем при обмене программа-программа.
Все это интегрировано в дистрибутив Zentyal .
А мужики то и не в курсе http://www.snort.org/snort-downloads/additional-downloads
А есть какой-то софт, который умеет детектировать аномалии вида "при авторизации пользователя его IP принадлежит неподходящей стране /страна/город/провайдер резко поменялись и т п". ?
Посмотрите в сторону SIEM-систем. Из бесплатных OSSIM, условно бесплатный Splunk (ограничение в 500 Мб логов в день).
> условно бесплатныйНеприемлемо
MyDLP