The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой OpenAppID

27.10.2014 11:20

Компания Cisco опубликовала новый значительный релиз Snort 2.9.7.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

В новой версии добавлена поддержка технологии OpenAppID для разработки межсетевых экранов уровня приложений, позволяющих определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.

Описания признаков использования протоколов или приложений производится на специальном языке, основанном на Lua. На сайте проекта размещена библиотека, содержащая несколько тысяч готовых детекторов OpenAppID. Кроме правил для выявления отдельных приложений присутствуют детекторы обращений к группам сервисов, например, детекторы для сайтов совместной разработки, web-служб Apple, файлообменников, облачных хранилищ, платформ для блоггеров, интернет-магазинов, платёжных систем и т.д.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п.

Другие улучшения:

  • В правила добавлена поддержка опции protected_content, которую можно использовать для выявления контента по хэшу (например, в правилах вместо открытого текста можно указать его хэш, чтобы скрыть содержимое от администратора сервера);
  • В PAF (Protocol Aware Flushing) внесены улучшения для более аккуратного захвата и сохранения почтовых вложений и сообщений, передаваемых с использованием протоколов SMTP, POP и IMAP;
  • Добавлена возможность тестирования поведения системы нормализации трафика без непосредственного изменения трафика (при указании опции na_policy_mode:inline-test система только генерирует статистику о ходе нормализации, без её непосредственного применения);
  • В препроцессор инспектировния протокола HTTP (HttpInspect) добавлена поддержка распаковки flash-контента, сжатого методами DEFLATE и LZMA, и PDF-контента, сжатого методом DEFLATE, при использовании опций decompress_swf и decompress_pdf. В HttpInspect также добавлен учёт ситуаций одновременной установки нескольких заголовков X-Forwarded-For;
  • В препроцессор SSL добавлены дополнительные методы выявления эксплуатации уязвимости Heartbleed;
  • Добавлена новая команда для сброса содержимого пакетов в файл (control socket);
  • Препроцессор Stream5 разделён на два отдельных препроцессора Session и Stream6;
  • Обеспечена возможность индивидуального включения опций нормализации TCP;
  • Увеличена производительности кода пересборки сеансов FTP;
  • Улучшена совместимость с платформами OS X 10.9 (Mavericks), OpenBSD, FreeBSD и DragonFlyBSD.


  1. Главная ссылка к новости (http://marc.info/?l=snort-deve...)
  2. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  3. OpenNews: Открытые проекты ClamAV и Snort перешли в руки компании Cisco
  4. OpenNews: Релиз системы обнаружения атак Suricata 2.0
  5. OpenNews: Релиз системы обнаружения атак Snort 2.9.6.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40938-snort
Ключевые слова: snort
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.1, Аноним (-), 12:26, 27/10/2014 [ответить]  
  • +3 +/
    Suricata попонтовее.
     
     
  • 2.4, Аноним (-), 16:46, 27/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    попрожорливее по ресурсам(порой на порядок), меньше срабатываний(и фалз позитив и правильных, вместе взятых), больше пафоса и надутых щек и обещаний у авторов. некоторые фичи, вроде утилизации CUDA-ускорялок - смотрятся странновато.
     

  • 1.2, Sunderland93 (ok), 12:32, 27/10/2014 [ответить]  
  • +/
    Отлично!
     
  • 1.7, oleg_skat (ok), 10:36, 05/02/2015 [ответить]  
  • +/
    FreeBSD 9.3
    Тормозит - ковыряйте настройки. Заведомо ненужные правила уберите, напишите свои, супрес лист составте. Препроцессоры оптимизируйте ....
    ------------------------------------------
    Была ошибка:
    Loading dynamic engine /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a... ERROR: Failed to load /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a: /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a: invalid file format
    Fatal Error, Quitting..

    Д.б *.so-шник

    Путь изменился, теперь так:

    snort.conf
    ......

    dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

     
  • 1.8, Александр (??), 19:53, 02/01/2017 [ответить]  
  • +/
    В тест-режиме выдает такое ERROR: /etc/snort/snort.conf(326) => Invalid keyword '}' for server configuration. Подскажите, в чем проблема и как лечится?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру