The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз Suricata 1.0 - открытой системы по обнаружению атак

21.07.2010 12:02

Организация OISF (Open Information Security Foundation) объявила о выходе первой стабильной версии открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Создание данной системы спонсировалось правительством США.

Уникальными особенностями Suricata являются поддержка ускорения работы с помощью технологии вычислений на видеоакселераторах NVIDIA CUDA, многопоточный режим работы, возможность обнаружения неизвестных типов сетевого трафика, большое количество вариантов захвата сетевого трафика, вплоть до получения его напрямую из ядра Linux. Более подробно про возможности системы Suricata можно прочитать в новости о выходе публичной бета версии.

  1. Главная ссылка к новости (http://openinfosecfoundation.o...)
  2. OpenNews: Suricata - новая открытая система обнаружения атак
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27374-ids
Ключевые слова: ids, ips, security, suricata
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:31, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    больше всего меня порадовало обили документации и качество описания....
    IMHO разводной троян....
     
     
  • 2.4, Аноним (4), 13:38, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    +10500
    полюбому эта софтина напичкана чемто лишним
     

  • 1.2, Аноним (-), 13:02, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ничотак заготовка. осталось выпилить црушные баги и впилить парочку багов для фсб, и можно форсить в рунете как в свое время вконтактик.
     
     
  • 2.3, ххх (?), 13:34, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >и можно форсить в рунете как в свое время вконтактик.

    ??

     
     
  • 3.13, Аноним (-), 01:52, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вещества...
     

  • 1.5, cmp (??), 14:04, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "...вплоть до получения его напрямую из ядра Linux" - а в энтерпрайз версии в плоть до получения напрямую из мозга
     
  • 1.6, Аноним (-), 14:34, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Только сейчас воткнулся,что они это сделали в пику snort - там кабан,а тут этот сурикат,как всем известном мультике.
     
  • 1.7, sHaggY_caT (ok), 14:40, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А никто не подскажет, что можно использовать, если клиент ну очень сильно хочет (мы аутсорс) систему для обнаружения инсайдеров? Кто-нибудь работал с какой-нибудь платформой из продаваемых?

    Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю, важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины для почты и прокси-сервера), на что дать алерт по тому же SNMP для мониторинга.

    Поисковая выдача в Google есть, в том числе для *nix, но каковы эти *решения* в реальной эксплуатации совершенно не ясно.

     
     
  • 2.8, Аноним (-), 15:34, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    тут нужна систем DLP - data leakage prevention.

    >[оверквотинг удален]
    >платформой из продаваемых?
    >
    >Просто IDS направить вовнутрь не подойдет, так как, на сколько я понимаю,
    >важнее всего определить xls/ oocalc документ(и некоторые другие угрозы, которые не
    >ловятся "классическими" IDS), который покинет периметр (то есть, наверное, нужны плагины
    >для почты и прокси-сервера), на что дать алерт по тому же
    >SNMP для мониторинга.
    >
    >Поисковая выдача в Google есть, в том числе для *nix, но каковы
    >эти *решения* в реальной эксплуатации совершенно не ясно.

     
  • 2.9, umbr (ok), 20:02, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь психиатра.
     
     
  • 3.10, m26 (?), 20:31, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Если "клиент хочет ... систему для обнаружения инсайдеров", как правило, требуется помощь
    >психиатра.

    Очень зря иронизируете. Например, во многих банках, сидит дядечка (обычно отставной древний мент) курирует безопасность и в его обязанности входит чтение вх\исх электронной почты сотрудников. Сам видел за работой такой IDS :)

     
     
  • 4.11, umbr (ok), 20:56, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я сказал "как правило" а не "всегда", и Вы правильно сказали "сидит дядечка" - фантазии о "программе на компьютере" которая "сама защитит нас от всего" скорее диагноз а не мероприятие по информационной безопасности.
     
     
  • 5.12, kirion (?), 22:46, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    пример - Дозор-Джет. Solaris+Oracle+спец.софт
     
     
  • 6.24, Alex Ott (?), 17:21, 23/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >пример - Дозор-Джет. Solaris+Oracle+спец.софт

    была/есть версия на линуксе + постгрес + сам дозор. работала как часы. можете взять демо-версию с их сайта

     
  • 2.14, oxyum (ok), 08:44, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает как SMTP-фильтр и сканирует всю почту.

    Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я не работал, сказать ничего не могу.

    О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html

     
     
  • 3.16, sHaggY_caT (ok), 10:15, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Лет 5 назад я вполне успешно ставил СМАП Дозоз-Джет. Это решение работает
    >как SMTP-фильтр и сканирует всю почту.
    >
    >Есть ещё СКВТ Дозор-Джет - это анализатор web-траффика, но с ним я
    >не работал, сказать ничего не могу.
    >
    >О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html

    А что это вообще из себя представляет на практике?

     
     
  • 4.18, oxyum (ok), 12:11, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
    >
    >А что это вообще из себя представляет на практике?

    На практике? Ну как сейчас не знаю, а 5 лет назад когда я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор, по введению Дозора внутрь почтовой сети.

    Основная проблема была в том, что СМАП расчитан на то, что им будут пользоваться безопасники, и он будет контролировать почту даже админов.

    Я отказался от контроля админов, точнее был вынужден оставить им техническую возможность обойти СМАП, но решить там эту проблему было нельзя - безопасники не обладали необходимой квалификацией, а админы в конце-концов вообще отобрали СМАП у них себе, и стали пользовать его сами как систему архивации почты с мощным поиском.

    Схема внедрения от Джет рекомендует ставить СМАП перед почтовиком (SMTP-relay aka proxy), мне такая схема не подходила потому что в компании уже была полносьтью рабочая почта на более чем 500 пользователей, в том числе через почту ходили сообщения от платёжных систем, поэтому времени перенастраивать систему "в живую" у нас не было, а при такой схеме включения без настройки весь спам и вирусы падают в архив.

    Так как там уже было всё настроено, я написал модуль интеграции их почтовика(MDaemon) через API со СМАП. Писал на С+python и использовал postfix как прослойку.

    Общее время прохождения писем увеличилось в среднем примерно на 10-30 секунд. Большие (>100мб) письма ходили по 2-3 минуты, но это было в пределах допустимого, так что решения работало достаточно долго. Правда в коде на Си точно были утечки, так что раз в сутки приходилось перезапускать плагин. Но я изначально говорил, что не умею программировать DLL под win32.

    Много позже я понял где были утечки - спека на API была неверной, и не вызывался метод в котором освобождалась память, но это уже другая история, я к этому моменту уже 3 года там не работал! :)

     
     
  • 5.19, sHaggY_caT (ok), 13:55, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>>О, там ещё куча всего появилось: http://www.jetsoft.ru/product/product.html
    >>
    >>А что это вообще из себя представляет на практике?
    >
    >На практике? Ну как сейчас не знаю, а 5 лет назад когда
    >я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
    >по введению Дозора внутрь почтовой сети.

    Ясно, спасибо. А ложные срабатывания, и т п?

     
     
  • 6.20, oxyum (ok), 14:20, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>На практике? Ну как сейчас не знаю, а 5 лет назад когда
    >>я внедрял СМАП Дозор-Джет у клиентов это представляло собой нехилый гемор,
    >>по введению Дозора внутрь почтовой сети.
    >
    >Ясно, спасибо. А ложные срабатывания, и т п?

    А правила должны писать вы, так что как напишите, так и будет работать. Там собсно есть действие "Задержать письмо до рассмотрения большим братом", как-то так.

    И уже после ручной проверки будет принято решение о том стоит ли его отправлять.

    PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные архивы, etc.
    PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
    PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только на старте съел около $20k с железом, и ужимали там бюджет очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно она дешевле обойдётся. У меня таких мелкий проектов не было.

     
     
  • 7.23, Alex Ott (?), 17:20, 23/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >[оверквотинг удален]
    >И уже после ручной проверки будет принято решение о том стоит ли
    >его отправлять.
    >
    >PS: Сразу говорю, оно умеет искать в аттачах, msword, pdf, архивы, вложенные
    >архивы, etc.
    >PPS: На запароленные архивы можно поставит правило, на архивную бомбу тоже.
    >PPPS: Оно дорого, реально дорого! У меня самый мелкий проект(реально мелкий) только
    >на старте съел около $20k с железом, и ужимали там бюджет
    >очень сильно. Хотя раньше была какая-то версия на 50 ящиков, возможно
    >она дешевле обойдётся. У меня таких мелкий проектов не было.

    Версия с Ораклом и Солярисом была дорогой в первую очередь из-за Оракла.  Если не хранить почту за 5 лет в базе, то Постгрессовая версия тянула и большое кол-во пользователей

     
     
  • 8.25, oxyum (ok), 17:28, 23/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, там просто ещё в какой-то момент был вариант, что версия на 50 ящиков вообщ... текст свёрнут, показать
     
     
  • 9.26, Alex Ott (?), 17:36, 23/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален ну я сам поработал только с самыми первыми версиями 4 0... текст свёрнут, показать
     
  • 2.21, ABorland (?), 21:09, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по слову Тропа
    но стоит это бешеных денег и насколько реально защищает - незнаю
     
     
  • 3.22, oxyum (ok), 00:43, 07/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Наш отечественный Jet дозор чем то подобным занимается, еще можно погуглить по
    >слову Тропа

    Тропа - это VPN и ничего кроме.
    Чаще всего нужно там, где VPN должен быть по критографией по ГОСТу.

    >но стоит это бешеных денег

    Ну безопасность всегда была дорогим удовольствием... куда более дорогим чем способы её обхода.

    > и насколько реально защищает - незнаю

    Как настроить, так и защитит. Не больше...

     

  • 1.17, Minix3 Developer (?), 10:31, 22/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    " ..Создание данной системы спонсировалось правительством США. "
    Ключевая фраза : )))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру