The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз системы обнаружения атак Snort 2.9.16.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от opennews (??), 13-Апр-20, 22:13 
Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52729

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз системы обнаружения атак Snort 2.9.16.0"  –1 +/
Сообщение от Аноним (1), 13-Апр-20, 22:13 
Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от pin (??), 14-Апр-20, 00:09 
> И у snort проблемы с производительностью.

Вам опять же показалось.

Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от Аноним (-), 14-Апр-20, 02:38 
А для дома эта штука пригодится?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Релиз системы обнаружения атак Snort 2.9.16.0"  +4 +/
Сообщение от Аноним (1), 14-Апр-20, 07:46 
Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –3 +/
Сообщение от Аноним (-), 13-Апр-20, 22:30 
Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от Анонимemail (3), 14-Апр-20, 00:04 
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от Аноним (5), 14-Апр-20, 01:37 
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от www2 (??), 14-Апр-20, 07:16 
Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
Ответить | Правка | Наверх | Cообщить модератору

14. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Аноним84701 (ok), 14-Апр-20, 12:53 
> Это что за система такая, которую настолько просто взломать, что её нужно
> в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
> увидишь предупреждение? Успеешь сетевой шнурок выдернуть?

Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
Ну и не щелкать клювом!
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...

Если что, есть оригинал, умевший все это давным-давно
*копается в цифровой мусор^W кладовке*


-rw-r-----  1 Аноним  Аноним   1,7M 27 дек.   2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE

а не эти ваши новомодные смузи-каты!
Ответить | Правка | Наверх | Cообщить модератору

9. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Andrey (??), 14-Апр-20, 09:19 
> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
> мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
> ты должен постоянно смотреть в логи, а если вдруг расслабился и
> решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
> ни логов, ни системы?

Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
Это комплексная защита периметра, а не десктопное приложение для админов localhost.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Релиз системы обнаружения атак Snort 2.9.16.0"  –1 +/
Сообщение от нах. (?), 14-Апр-20, 10:01 
Вы бл@ство с разнообразием-то не путайте.

Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.

И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.

А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.

Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.

Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от fff (??), 14-Апр-20, 15:50 
Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от нах. (?), 14-Апр-20, 17:15 
я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0
А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле.

> Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит
> денег.

внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно.

139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае.

А остальной мой свежий урожай за вчера вот так выглядит:

    4   208  dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru
    8   512  212.46.18.0/24
    2   104  host-91-105-184-125.bbcustomer.zsttk.net
    3   156  net-31-132-211-144.king-online.ru
   97  4928  ip.178-69-40-160.avangarddsl.ru
    2   104  pppoe.178-65-167-56.dynamic.avangarddsl.ru
    5   256  46.164.243.125
  345 20700  46.164.192.0/18
    6   312  128-75-131-47.broadband.corbina.ru
    6   304  95-55-37-53.dynamic.avangarddsl.ru

вот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить.

Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем.

При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.

Ответить | Правка | Наверх | Cообщить модератору

21. "Релиз системы обнаружения атак Snort 2.9.16.0"  –1 +/
Сообщение от Аноним (21), 14-Апр-20, 17:18 
fail2ban уже "изобрели"
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

29. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от васянemail (?), 15-Апр-20, 09:39 
> А что в 2k20 делать

Вы там в 2200 совсем отупели?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от suricatamaster (?), 14-Апр-20, 11:17 
логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от bobr (?), 15-Апр-20, 02:40 
Эта штука не для десктопов. Тебе она не понадобится. Точно.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Урри (?), 14-Апр-20, 12:43 
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз системы обнаружения атак Snort 2.9.16.0"  +2 +/
Сообщение от Аноним (13), 14-Апр-20, 12:51 
Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Урри (?), 14-Апр-20, 18:27 
Спасибо, гляну.
Ответить | Правка | Наверх | Cообщить модератору

24. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Урри (?), 14-Апр-20, 18:37 
Поставил, работает.
Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Валик (?), 14-Апр-20, 19:25 
> поставил

не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от Урри (?), 14-Апр-20, 22:32 
> возможно придется подтюнить ... делается это через передачу параметра ядру

Спасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.

> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.

это есть.

> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.

Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35

Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз системы обнаружения атак Snort 2.9.16.0"  –1 +/
Сообщение от Валик (?), 15-Апр-20, 03:33 
весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз системы обнаружения атак Snort 2.9.16.0"  –2 +/
Сообщение от нах. (?), 14-Апр-20, 14:29 
> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?

ufw deny in from 172.16.0.0/12 ssh  - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок

Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?

А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от Урри (?), 14-Апр-20, 18:17 
В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).

А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.

Ответить | Правка | Наверх | Cообщить модератору

15. "Релиз системы обнаружения атак Snort 2.9.16.0"  –1 +/
Сообщение от Аноним (15), 14-Апр-20, 13:45 
> Компания Cisco опубликовала

А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?

Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.

Ответить | Правка | Наверх | Cообщить модератору

16. "Релиз системы обнаружения атак Snort 2.9.16.0"  +1 +/
Сообщение от suricatamaster (?), 14-Апр-20, 14:11 
шикарный ui https://github.com/robcowart/synesis_lite_snort
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру