The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз Suricata 1.0 - открытой системы по обнаружению атак"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от opennews (??) on 21-Июл-10, 12:31 
Организация OISF (Open Information Security Foundation) объявила (http://openinfosecfoundation.org/index.php/component/content...) о выходе первой стабильной версии открытой системы обнаружения и предотвращения атак <a href="http://openinfosecfoundation.org/documentation/index.html" title="Документация">Suricata</a> IDS/IPS, базирующейся на принципиально новых механизмах работы. Создание данной системы спонсировалось правительством США.


Уникальными особенностями Suricata являются поддержка ускорения работы с помощью технологии вычислений на видеоакселераторах NVIDIA CUDA, многопоточный режим работы, возможность обнаружения неизвестных типов сетевого трафика, большое количество вариантов захвата сетевого трафика, вплоть до получения его напрямую из ядра Linux. Более подробно про возможности системы Suricata можно прочитать в новости (http://www.opennet.me/opennews/art.shtml?num=24877) о выходе публичной бета версии.

URL: http://openinfosecfoundation.org/index.php/component/content...
Новость: http://www.opennet.me/opennews/art.shtml?num=27374

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от Аноним (??) on 21-Июл-10, 12:31 
больше всего меня порадовало обили документации и качество описания....
IMHO разводной троян....
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от Аноним email(??) on 21-Июл-10, 13:38 
+10500
полюбому эта софтина напичкана чемто лишним
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от Аноним (??) on 21-Июл-10, 13:02 
ничотак заготовка. осталось выпилить црушные баги и впилить парочку багов для фсб, и можно форсить в рунете как в свое время вконтактик.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от ххх on 21-Июл-10, 13:34 
>и можно форсить в рунете как в свое время вконтактик.

??

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от Аноним (??) on 22-Июл-10, 01:52 
вещества...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от cmp (??) on 21-Июл-10, 14:04 
"...вплоть до получения его напрямую из ядра Linux" - а в энтерпрайз версии в плоть до получения напрямую из мозга
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от Аноним (??) on 21-Июл-10, 14:34 
Только сейчас воткнулся,что они это сделали в пику snort - там кабан,а тут этот сурикат,как всем известном мультике.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от sHaggY_caT (ok) on 21-Июл-10, 14:40 
А никто не подскажет, что можно использовать, если клиент ну очень сильно хочет (мы аутсорс) систему для обнаружения инсайдеров? Кто-нибудь работал с какой-нибудь платформой из продаваемых?

Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю, важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины для почты и прокси-сервера), на что дать алерт по тому же SNMP для мониторинга.

Поисковая выдача в Google есть, в том числе для *nix, но каковы эти *решения* в реальной эксплуатации совершенно не ясно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от Аноним (??) on 21-Июл-10, 15:34 
тут нужна систем DLP - data leakage prevention.

>[оверквотинг удален]
>платформой из продаваемых?
>
>Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю,
>важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не
>ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины
>для почты и прокси-сервера), на что дать алерт по тому же
>SNMP для мониторинга.
>
>Поисковая выдача в Google есть, в том числе для *nix, но каковы
>эти *решения* в реальной эксплуатации совершенно не ясно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  –2 +/
Сообщение от umbr email(ok) on 21-Июл-10, 20:02 
Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь психиатра.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от m26 on 21-Июл-10, 20:31 
>Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь
>психиатра.

Очень зря иронизируете. Например, во многих банках, сидит дядечка (обычно отставной древний мент) курирует безопасность и в его обязанности входит чтение вх\исх электронной почты сотрудников. Сам видел за работой такой IDS :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  –1 +/
Сообщение от umbr email(ok) on 21-Июл-10, 20:56 
Я сказал "как правило" а не "всегда", и Вы правильно сказали "сидит дядечка" - фантазии о "программе на компьютере" которая "сама защитит нас от всего" скорее диагноз а не мероприятие по информационной безопасности.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от kirion on 21-Июл-10, 22:46 
пример - Дозор-Джет. Solaris+Oracle+спец.софт
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от Alex Ott email on 23-Авг-10, 17:21 
>пример - Дозор-Джет. Solaris+Oracle+спец.софт

была/есть версия на линуксе + постгрес + сам дозор. работала как часы. можете взять демо-версию с их сайта

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +2 +/
Сообщение от oxyum (ok) on 22-Июл-10, 08:44 
Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает как SMTP-фильтр и сканирует всю почту.

Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я не работал, сказать ничего не могу.

О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от sHaggY_caT (ok) on 22-Июл-10, 10:15 
>Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает
>как SMTP-фильтр и сканирует всю почту.
>
>Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я
>не работал, сказать ничего не могу.
>
>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html

А что это вообще из себя представляет на практике?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +2 +/
Сообщение от oxyum (ok) on 22-Июл-10, 12:11 
>>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
>
>А что это вообще из себя представляет на практике?

На практике? Ну как сейчас не знаю, а 5 лет назад когда я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор, по введению Дозора внутрь почтовой сети.

Основная проблема была в том, что СМАП расчитан на то, что им будут пользоваться безопасники, и он будет контролировать почту даже админов.

Я отказался от контроля админов, точнее был вынужден оставить им техническую возможность обойти СМАП, но решить там эту проблему было нельзя - безопасники не обладали необходимой квалификацией, а админы в конце-концов вообще отобрали СМАП у них себе, и стали пользовать его сами как систему архивации почты с мощным поиском.

Схема внедрения от Джет рекомендует ставить СМАП перед почтовиком (SMTP-relay aka proxy), мне такая схема не подходила потому что в компании уже была полносьтью рабочая почта на более чем 500 пользователей, в том числе через почту ходили сообщения от платёжных систем, поэтому времени перенастраивать систему "в живую" у нас не было, а при такой схеме включения без настройки весь спам и вирусы падают в архив.

Так как там уже было всё настроено, я написал модуль интеграции их почтовика(MDaemon) через API со СМАП. Писал на С+python и использовал postfix как прослойку.

Общее время прохождения писем увеличилось в среднем примерно на 10-30 секунд. Большие (>100мб) письма ходили по 2-3 минуты, но это было в пределах допустимого, так что решения работало достаточно долго. Правда в коде на Си точно были утечки, так что раз в сутки приходилось перезапускать плагин. Но я изначально говорил, что не умею программировать DLL под win32.

Много позже я понял где были утечки - спека на API была неверной, и не вызывался метод в котором освобождалась память, но это уже другая история, я к этому моменту уже 3 года там не работал! :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от sHaggY_caT (ok) on 22-Июл-10, 13:55 
>>>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
>>
>>А что это вообще из себя представляет на практике?
>
>На практике? Ну как сейчас не знаю, а 5 лет назад когда
>я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
>по введению Дозора внутрь почтовой сети.

Ясно, спасибо. А ложные срабатывания, и т п?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от oxyum (ok) on 22-Июл-10, 14:20 
>>На практике? Ну как сейчас не знаю, а 5 лет назад когда
>>я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
>>по введению Дозора внутрь почтовой сети.
>
>Ясно, спасибо. А ложные срабатывания, и т п?

А правила должны писать вы, так что как напишите, так и будет работать. Там собсно есть действие "Задержать письмо до рассмотрения большим братом", как-то так.

И уже после ручной проверки будет принято решение о том стоит ли его отправлять.

PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные архивы, etc.
PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только на старте съел около $20k с железом, и ужимали там бюджет очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно она дешевле обойдётся. У меня таких мелкий проектов не было.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от Alex Ott email on 23-Авг-10, 17:20 
>[оверквотинг удален]
>И уже после ручной проверки будет принято решение о том стоит ли
>его отправлять.
>
>PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные
>архивы, etc.
>PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
>PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только
>на старте съел около $20k с железом, и ужимали там бюджет
>очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно
>она дешевле обойдётся. У меня таких мелкий проектов не было.

Версия с Ораклом и Солярисом была дорогой в первую очередь из-за Оракла.  Если не хранить почту за 5 лет в базе, то Постгрессовая версия тянула и большое кол-во пользователей

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от oxyum (ok) on 23-Авг-10, 17:28 
>>[оверквотинг удален]
>>PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только
>>на старте съел около $20k с железом, и ужимали там бюджет
>>очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно
>>она дешевле обойдётся. У меня таких мелкий проектов не было.
>
>Версия с Ораклом и Солярисом была дорогой в первую очередь из-за Оракла.

Нет, там просто ещё в какой-то момент был вариант, что версия на 50 ящиков вообще сильно дешевле получалась. Ограничение на то что большие лицензии только на Oracle вроде уже давно сняли. Но вообще это столь старая инфа, что заниматься этой некрофилией не имеет особого смысла IMHO. :)

> Если не хранить почту за 5 лет в базе, то
> Постгрессовая версия тянула и большое кол-во пользователей

Ну я постгресовую-версию ставил на 500 ящиков. При наличии оперативного архива за пару месяцев даже на PostgreSQL 7.4 работало вполне сносно.

Сейчас везде уже идёт PgSQL 8.x, а скоро думаю и 9.0 будет - оно ещё быстрее будет. Плюс можно самостоятельно(если этого ещё нет) сделать партицирование базы. :)

PS: Хотя я даже СМАП Дозор-Джет 4.0 только в бетах видел. Ни одного внедрения сам уже не сделал. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от Alex Ott email on 23-Авг-10, 17:36 
>[оверквотинг удален]
>
>Ну я постгресовую-версию ставил на 500 ящиков. При наличии оперативного архива за
>пару месяцев даже на PostgreSQL 7.4 работало вполне сносно.
>
>Сейчас везде уже идёт PgSQL 8.x, а скоро думаю и 9.0 будет
>- оно ещё быстрее будет. Плюс можно самостоятельно(если этого ещё нет)
>сделать партицирование базы. :)
>
>PS: Хотя я даже СМАП Дозор-Джет 4.0 только в бетах видел. Ни
>одного внедрения сам уже не сделал. :)

ну я сам поработал только с самыми первыми версиями 4.0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +/
Сообщение от ABorland on 06-Авг-10, 21:09 
Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по слову Тропа
но стоит это бешеных денег и насколько реально защищает - незнаю
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  +1 +/
Сообщение от oxyum (ok) on 07-Авг-10, 00:43 
>Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по
>слову Тропа

Тропа - это VPN и ничего кроме.
Чаще всего нужно там, где VPN должен быть по критографией по ГОСТу.

>но стоит это бешеных денег

Ну безопасность всегда была дорогим удовольствием... куда более дорогим чем способы её обхода.

> и насколько реально защищает - незнаю

Как настроить, так и защитит. Не больше...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Релиз Suricata 1.0 - открытой системы по обнаружению атак"  –1 +/
Сообщение от Minix3 Developer on 22-Июл-10, 10:31 
" ..Создание данной системы спонсировалось правительством США. "
Ключевая фраза : )))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру