Релиз системы обнаружения атак Snort 2.9.6.0

27.01.2014 13:11

Компания Cisco опубликовала новый значительный релиз Snort 2.9.6.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB;
В препроцессоре DCERPC реализована поддержка специфичной обработки файлов, передаваемых через SMB;
В используемой в правилах опции byte_test добавлена поддержка операторов ">=" и "<=";
Поддержка выявления проводимых по SMTP атак, связанных с аутентификацией в Cyrus SASL;
Поддержка захвата полного сеанса, от начала и до конца;
Экспериментальная поддержка использования в правилах snort определения типа файла;
Улучшена поддержка протоколов SMTP, POP и IMAP.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38940-ids

Ключевые слова: ids, snort

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.2, Perain (?), 14:21, 27/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Сурикат бесплатный и получше http://www.openinfosecfoundation.org/index.php/download-suricata

2.14, Аноним (-), 06:40, 28/01/2014 [^] [^^] [^^^] [ответить]	+/–
> Windows (win32) installer: Поржал

1.3, Куяврег (?), 15:03, 27/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB; лёгким движением IDS превращается... превращается... превращается IDS...

2.11, Аноним (-), 22:02, 27/01/2014 [^] [^^] [^^^] [ответить]	+4 +/–
Оружие - оно не оружие обороны или нападения. Оно просто оружие. Обороняться или нападать - это решает тот кто его взял в руки. Так всегда было и так всегда будет.

2.12, Аноним (-), 23:47, 27/01/2014 [^] [^^] [^^^] [ответить]	+2 +/–
> лёгким движением IDS превращается... превращается... превращается IDS... Для превращения в полноценную DLP одной такой функции недостаточно. Нужны еще очень хитрые алгоритмы анализа трафика, куда более хитрые, чем в IDS. Потому что при обмене человек-человек хитростей может быть куда больше, чем при обмене программа-программа.

1.4, Аноним (-), 16:00, 27/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Все это интегрировано в дистрибутив Zentyal .

2.6, hummermania (ok), 19:09, 27/01/2014 [^] [^^] [^^^] [ответить]	+/–
А мужики то и не в курсе http://www.snort.org/snort-downloads/additional-downloads

1.5, PavelR (ok), 17:13, 27/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А есть какой-то софт, который умеет детектировать аномалии вида "при авторизации пользователя его IP принадлежит неподходящей стране /страна/город/провайдер резко поменялись и т п". ?

2.8, Andrey (??), 19:31, 27/01/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Посмотрите в сторону SIEM-систем. Из бесплатных OSSIM, условно бесплатный Splunk (ограничение в 500 Мб логов в день).

3.16, Аноним (-), 12:13, 28/01/2014 [^] [^^] [^^^] [ответить]	+/–
> условно бесплатный Неприемлемо

1.15, Аноним (-), 12:11, 28/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
MyDLP

игнорирование участников | лог модерирования

Добавить комментарий

Текст: