The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +/
Сообщение от opennews (??) on 27-Окт-14, 12:26 
Компания Cisco опубликовала (http://marc.info/?l=snort-devel&m=141408571114994&w=2) новый значительный релиз Snort 2.9.7.0 (http://www.snort.org),  свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.


В новой версии добавлена поддержка  технологии OpenAppID для разработки межсетевых экранов уровня приложений,  позволяющих определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений.  Добавленный в Snort препроцессор  OpenAppID позволяет  выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.


Описания признаков использования протоколов или приложений производится на специальном языке, основанном на Lua. На сайте проекта размещена библиотека (https://www.snort.org/downloads/#openappid-downloads), содержащая несколько тысяч готовых детекторов OpenAppID. Кроме правил для выявления отдельных приложений присутствуют детекторы обращений к группам сервисов, например, детекторы для сайтов совместной разработки, web-служб Apple, файлообменников, облачных хранилищ, платформ для блоггеров, интернет-магазинов, платёжных систем и т.д.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей.  OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений,  для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п.


Другие улучшения:


-  В правила добавлена поддержка опции protected_content, которую можно использовать для выявления контента по хэшу (например, в правилах вместо открытого текста можно указать его хэш, чтобы скрыть  содержимое от администратора сервера);

-  В PAF (Protocol Aware Flushing) внесены улучшения для более аккуратного захвата и сохранения почтовых вложений и сообщений, передаваемых с использованием протоколов SMTP, POP и IMAP;

-  Добавлена возможность тестирования поведения системы нормализации трафика без непосредственного изменения трафика (при указании опции
na_policy_mode:inline-test система только генерирует статистику о ходе нормализации, без её непосредственного применения);
-  В препроцессор инспектировния протокола HTTP (HttpInspect) добавлена поддержка распаковки flash-контента, сжатого методами DEFLATE и LZMA, и PDF-контента, сжатого методом DEFLATE, при использовании опций decompress_swf и decompress_pdf. В HttpInspect также добавлен учёт ситуаций одновременной установки нескольких заголовков X-Forwarded-For;


-  В препроцессор SSL добавлены дополнительные методы выявления эксплуатации уязвимости  Heartbleed (http://www.opennet.me/opennews/art.shtml?num=39518);
-  Добавлена новая команда для сброса содержимого пакетов в файл (control socket);

-  Препроцессор Stream5 разделён на два отдельных препроцессора
Session и Stream6;

-  Обеспечена возможность индивидуального включения опций нормализации TCP;
-  Увеличена производительности кода пересборки сеансов FTP;
-  Улучшена совместимость с платформами OS X 10.9 (Mavericks), OpenBSD, FreeBSD и DragonFlyBSD.


URL: http://marc.info/?l=snort-devel&m=141408571114994&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=40938

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +3 +/
Сообщение от Аноним (??) on 27-Окт-14, 12:26 
Suricata попонтовее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +/
Сообщение от Аноним (??) on 27-Окт-14, 16:46 
попрожорливее по ресурсам(порой на порядок), меньше срабатываний(и фалз позитив и правильных, вместе взятых), больше пафоса и надутых щек и обещаний у авторов. некоторые фичи, вроде утилизации CUDA-ускорялок - смотрятся странновато.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +/
Сообщение от Sunderland93 email(ok) on 27-Окт-14, 12:32 
Отлично!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +/
Сообщение от oleg_skat (ok) on 05-Фев-15, 10:36 
FreeBSD 9.3
Тормозит - ковыряйте настройки. Заведомо ненужные правила уберите, напишите свои, супрес лист составте. Препроцессоры оптимизируйте ....
------------------------------------------
Была ошибка:
Loading dynamic engine /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a... ERROR: Failed to load /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a: /usr/local/lib/snort/dynamic_output/libsf_dynamic_output.a: invalid file format
Fatal Error, Quitting..

Д.б *.so-шник

Путь изменился, теперь так:

snort.conf
......

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск системы обнаружения атак Snort 2.9.7.0 с поддержкой O..."  +/
Сообщение от Александр email(??) on 02-Янв-17, 19:53 
В тест-режиме выдает такое ERROR: /etc/snort/snort.conf(326) => Invalid keyword '}' for server configuration. Подскажите, в чем проблема и как лечится?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру