The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Suricata - новая открытая система обнаружения атак

01.01.2010 13:25

После трех лет разработки объединение OISF (Open Information Security Foundation) начало бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.

Особенности Suricata:

  • Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
  • Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту);
  • Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и использована в сторонних проектах. Код библиотеки написан автором проекта Mod_Security.
  • Поддержка разбора сжатого методом Gzip содержания пакетов;
  • Очень быстрый механизм сопоставления по маске с большими наборами IP адресов;
  • Поддержка стандартных интерфейсов для перехвата трафика NFQueue, IPFRing, LibPcap, IPFW. Унифицированный формат вывода результатов проверки позволяет использовать стандартные утилиты для анализа;
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
  • Наличие модуля для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате apache;
  • В ближайших планах:
    • Формирование общедоступной распределенной базы репутации IP адресов;
    • Возможность аппаратной акселерации на стороне GPU, за счет задействования CUDA и OpenCL.


  1. Главная ссылка к новости (http://seclists.org/snort/2009...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24877-ids
Ключевые слова: ids, ips, security, suricata
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:15, 01/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "блокировать HTTP трафик на нестандартном порту"
    Я так и не понял?
     
     
  • 2.2, uldus (ok), 23:09, 01/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >"блокировать HTTP трафик на нестандартном порту"
    >Я так и не понял?

    Допустим очередной троян на машине локальной сети поднимает http-сервер для раздачи копий вредоносного ПО на 3456 порту. Иногда очень удобно блокировать именно по типу протокола, а не по номерам портов.

     
     
  • 3.4, User294 (ok), 16:36, 02/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать что троянов пишут дебилы которые не придумают еще три зиллиона уловок если вдруг такие системы станут массовыми. На%$#ть можно любой файрвол. Ну разве что миллион китайцев посадить и заставить парсить HTTP запросы лично, всыпая палок за ошибки. Тогда может и прокатит.
     
     
  • 4.6, Karpion (ok), 21:56, 02/01/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы удивитесь, но спамеры до сих пор не преодолели защиту серыми списками, когда письмо принимается не с первого раза, а через заданный промежуток времени. Так что даже простейшая защита часто очень сильно помогает.
     
     
  • 5.8, andrek (?), 05:14, 03/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    мля.. от этой вашей защиты больше страдают юзеры, на собственной шкуре чувствую.. постоянно приходится пересылать вручную
     
     
  • 6.16, artem (??), 05:53, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А ты в лог заглядывал? Эти самы страдающие дебилы-юзеры регяться на всех тупых соц-сетях и порно-сайтах с корпоративными мыльями и им потом тоннами срань на ящики сыпется. Половина, если не больше писем из вне - спам, отсекаемый грей-листом.
     
  • 3.5, sHaggY_caT (ok), 20:06, 02/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Такое лучше решать через SELinux
     
     
  • 4.10, Anonym (?), 13:01, 03/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаете ставить SeLinux на седьмую винду секретаршам?
     
     
  • 5.11, Anonymousapiens (ok), 18:02, 03/01/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем секретаршам седьмая винда?
     

  • 1.3, Аноним (-), 13:12, 02/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чет я не понял..там сигнатуры от снорта?
     
  • 1.7, Александр Лейн (?), 01:59, 03/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересный подход. уже не асид со снортом. хочется уже обкатать =)
     
  • 1.9, stranger (??), 11:20, 03/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Название прикольное :)
     
  • 1.12, pavlinux (ok), 02:38, 04/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где брать classification.config, и все rule-files: *.rules


     
  • 1.13, pavlinux (ok), 03:10, 04/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В общам так, установку надо допиливать руками.
    Rules_ы качаются с сайтa SNORT

    Кому лень, впадлу, и т.п.

    # mkdir -p /var/log/suricata
    # cd  /tmp
    # wget http://pavlinux.ru/tmp/suricata.configs.tar.bz2
    # tar xvf suricata.configs.tar.bz2 -C /etc
    # suricata -c /etc/suricata/suricata.yaml -i eth0



     
  • 1.15, Аноним (-), 19:39, 27/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А еще лучше поставить ПО контролирующее и трафик и порты-) , например TraffPro тоже. И порты сами разруливайте и отчеты есть, чтоб видеть кто что поднимает
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру