The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск системы обнаружения атак Suricata 7.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от opennews (??), 19-Июл-23, 10:56 
После двух с половиной лет разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 7.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом  Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59463

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск системы обнаружения атак Suricata 7.0 "  +1 +/
Сообщение от Аноним (1), 19-Июл-23, 10:56 
Много интересного конечно можно узнать, но толку то, если у всех ботнеты? Атаки ведутся с кучи адресов и их не отследить. Видишь, что кто-то занимается чем-то, ищет уязвимости, но нет даже смысла блокировать, потому что отделить от нормального трафика не реально и не повторяются.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от fi (ok), 19-Июл-23, 12:20 
чуть туть надо разобрарться.

если это WAF то он сразу просто режет трафик.

Вот только вопрос - может ли он смотреть внутрь в HTTP2, там скорей всего будет tls.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (8), 19-Июл-23, 16:10 
В смысле - скорее всего?
Насколько помню - ни в Хром, ни в Лисе нет поддержки HTTP/2 без шифрования...
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от fi (ok), 20-Июл-23, 18:44 
> В смысле - скорее всего?
> Насколько помню - ни в Хром, ни в Лисе нет поддержки HTTP/2
> без шифрования...

Ты видишь суслика? ..., ну ты понял :DDDD

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 20-Июл-23, 01:35 
Не существует универсальных методов защиты.
Есть различные инструменты, которые закрывают различные потребности в защите. Тем самым минимизирую и усложняя взлом.
В этом суть защиты, минимизация и усложение.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Выпуск системы обнаружения атак Suricata 7.0 "  –3 +/
Сообщение от Аноним (1), 20-Июл-23, 01:43 
Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не тем и сразу айпишник отправляем в чёрный список (который активно раздувается, только это ещё надо как-то не заблокировать легитимных клиентов которые могут прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А вот защита быстро становится неподъёмной.
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск системы обнаружения атак Suricata 7.0 "  –2 +/
Сообщение от noc101 (ok), 20-Июл-23, 14:59 
> Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не
> тем и сразу айпишник отправляем в чёрный список (который активно раздувается,
> только это ещё надо как-то не заблокировать легитимных клиентов которые могут
> прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования
> уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А
> вот защита быстро становится неподъёмной.

Я понимаю, ты очень далек от основ безопасности компьютерной и сетевой инфраструкты.
Если сервис не публичный. То есть варианты, когда по первому пакету, да айпи кидается в ЧС.
Если сервис публичный, то там сложней. Но и в этом случае есть алгоритмы по отслеживанию подозрительной деятельности. Она может состоять из множества подшагов, которые позволяют анализировать входящий трафик и определять довольно успешно атака или нет.

Повторюсь, ты явно незнаком с базой.

И еще раз повторюсь, защита компьютера и сетевой инфраструктуры, это ряд мер которые уменьшают вероятность взлома или выполнения других злонамеренных действий.
Никто не стремится прям на 100% обеспечить защиту, так как это невозможно.
Больше половины атак, происходит по простым алгоритмам, от которых отбится можно очень легко. Установкой обновлений, правильной настройкой огнестены, правильное предоставление доступов и банально хорошим паролем.

Это просто база, не умничай, если не понимаешь тему.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск системы обнаружения атак Suricata 7.0 "  +2 +/
Сообщение от Аноним (1), 20-Июл-23, 15:38 
Пока только ты тут умничаешь. И зачем ты это повторяешь, если тебе вообще нечего сказать по теме? Ты у мамы теоретик, наверное. Речь была про странные сканирования, которые детектятся только визуальным анализом всех странных пакетов от всех адресов. Я наблюдаю кучу такой активности периодически и единственным решением было банить всё минимально подозрительное. Только базы пухнут и пользователи ноют, приходится делать блокировку временной. Но в этом и нет смысла, потому что каждый новый запрос приходит с другого айпи, ротация их пулов настроена таким образом, чтобы успевать выпадать из блока ко времени повторного запроса. Кроме того, есть много акторов, пока борешься с одним, 100 других начинают проявлять интерес. Это всё борьба с ветряными мельницами.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 20-Июл-23, 18:36 
Понятно. Читать ты не умеешь.
Базой не владеешь. Глупости продолжаешь писать.
Спорить не буду, продолжай писать глупости)
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (1), 20-Июл-23, 18:43 
Просто мои навыки и опыт не имеют значения. Имеет значение то, что ты пустослов, и ничего полезного сообщить не способен.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 20-Июл-23, 18:50 
> Просто мои навыки и опыт не имеют значения.

У тебя нет навыков и опыта.


Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (1), 20-Июл-23, 20:50 
Тебе это неизвестно и сделать такой вывод из моих слов нельзя. Зато из твоих слов можно сделать однозначный вывод, что ты только брехать не по делу способен. Твои откровения слишком примитивны, чтобы их комментировать, а сказать ты ничего не можешь.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 21-Июл-23, 03:30 
Ты не способен сказать. Так как знаний нет.
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск системы обнаружения атак Suricata 7.0 "  –1 +/
Сообщение от безопасник (?), 20-Июл-23, 18:35 
Палю алгоритм близкой к 100% защите.
1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть по факту публичная и настроено в ней должно быть все точно так же как если бы торчало в интернеты.
2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим потом думаем, никакого предварительного тестирования быть тут не может, время ваш враг.
2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры в k8s это хорошая идея. Но пакетированые приложения и SElinux еще лучше.
3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить ничего дополнительного, только то что хост мог делать в нормальном режиме работы.
4. Торчите свое приложение по возможности только по http и ws. Подумайте 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.
5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным ключем который нельзя скопировать независимо от того сделано оно человеком или роботом.

Вместо снортов и сурикатов ваш трафик понюхает за вас AWS.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 20-Июл-23, 18:49 
> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть
> по факту публичная и настроено в ней должно быть все точно
> так же как если бы торчало в интернеты.

Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей.
Зачем только ты пишешь забыть про локальную сеть? Это глупость.

> 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны
> дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ
> безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим
> потом думаем, никакого предварительного тестирования быть тут не может, время ваш
> враг.

Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя.
Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами)
> 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не
> должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры
> в k8s это хорошая идея. Но пакетированые приложения и SElinux еще
> лучше.

Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё.

> 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить
> ничего дополнительного, только то что хост мог делать в нормальном режиме
> работы.

Топ
> 4. Торчите свое приложение по возможности только по http и ws. Подумайте
> 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.

Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами.

> 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным
> ключем который нельзя скопировать независимо от того сделано оно человеком или
> роботом.

!!!
Жаль это идеал не достигается часто.

З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск системы обнаружения атак Suricata 7.0 "  +1 +/
Сообщение от ano (??), 20-Июл-23, 07:40 
есть универсальный метод защиты. даёт 100% защиту от любых интернет атак и работает на любом оборудовании. просто не подключай это оборудование к интернету, всё.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

21. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от noc101 (ok), 20-Июл-23, 14:51 
На самом деле нет.
Есть ряд атак на офлайн устройства.
К примеру копирование информации на флешку. Интернет не нужен, абсолютно.
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Win10 (?), 23-Июл-23, 03:24 
Крис Касперски опроверг это утверждение взломав такую систему в ходе тестирования по заказу и записал в определенный файл подтверждение своего взлома на целевой машине. Есть статья как он это сделал - очень интересная.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

38. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Анониссимусemail (?), 24-Июл-23, 12:15 
Как найти? Не гуглится по "крис касперски оффлайн взлом"
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (18), 20-Июл-23, 02:18 
А не надо на внешний периметр ставить. Это все равно, что контролировать микробов в оружающем пространстве.  Понятное дело, они есть по всюду. Другое дело контролировать там, где не должно быть плохого трафика.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от yilativs (?), 21-Июл-23, 14:29 
1. отсечь технически безграмотных (их куда больше, чем тех у кого есть ботнет)
2. часть атак может быть сделана в одну команду и отсечь эти атаки тоже сурикатом или снортом можно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Тимофей (??), 19-Июл-23, 12:25 
Правила по-прежнему в одном потоке загружает? Или есть какие-то улучшения по этому поводу?
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск системы обнаружения атак Suricata 7.0 "  +3 +/
Сообщение от Аноним (7), 19-Июл-23, 12:29 
Теперь использует столько тредов, сколько есть в CPU, и дополнительно возводит это число в нулевую степень.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (9), 19-Июл-23, 16:49 
Точно не в минус первую? Проверь пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (12), 19-Июл-23, 22:07 
нуну. вопрос чисто от балды, как обычно. еще спросите "а точно теперь не по массиву циклом проходить будет"?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

13. "Выпуск системы обнаружения атак Suricata 7.0 "  –1 +/
Сообщение от швондер (?), 19-Июл-23, 23:49 
по связанному списку. при поиске совпадения по айпи. Да, перебором, даже по массиву циклом было бы быстрее.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск системы обнаружения атак Suricata 7.0 "  +1 +/
Сообщение от Alexander (ok), 19-Июл-23, 17:50 
> Добавлена поддержка VLAN Layer 3.

А кто-нибудь понимает, что здесь имеется в виду?

Из офиц. новости тоже не понятно:
> VLAN support extended from 2 to 3 layers

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск системы обнаружения атак Suricata 7.0 "  +3 +/
Сообщение от Quad Romb (ok), 19-Июл-23, 19:40 
Ну, как минимум нас уже двое - тех кто это не понимает.
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск системы обнаружения атак Suricata 7.0 "  +2 +/
Сообщение от швондер (?), 19-Июл-23, 23:59 
Поддерживают вложенные вланы, не только двойные, как в qinq, но и тройные - qinqinq/triple vlans.
Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить пакеты, плюс надо запоминать эти вланы для обогащения алерта.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск системы обнаружения атак Suricata 7.0 "  –1 +/
Сообщение от Quad Romb (ok), 20-Июл-23, 01:58 
> Поддерживают вложенные вланы, не только двойные, как в qinq, но и тройные
> - qinqinq/triple vlans.
> Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить
> пакеты, плюс надо запоминать эти вланы для обогащения алерта.

qinq - это не 3 уровень, извините.
Всё что работает с идентификацией по макам, хоть там n-ая степень вложения будет - это L2.
Ну, а тройные вланы - это, во-первых, собственность исключительно cisco, которая вылетает с российского рынка со свистом, а во-вторых - даже люди в операторах эту штуку старались не тыкать даже палочкой, уж больно там всё скучно было.

Но за версию объяснения, тем не менее, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от швондер (?), 21-Июл-23, 09:26 
>[оверквотинг удален]
>> Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить
>> пакеты, плюс надо запоминать эти вланы для обогащения алерта.
> qinq - это не 3 уровень, извините.
> Всё что работает с идентификацией по макам, хоть там n-ая степень вложения
> будет - это L2.
> Ну, а тройные вланы - это, во-первых, собственность исключительно cisco, которая вылетает
> с российского рынка со свистом, а во-вторых - даже люди в
> операторах эту штуку старались не тыкать даже палочкой, уж больно там
> всё скучно было.
> Но за версию объяснения, тем не менее, спасибо.

речь именно про qinqinq/triple vlan.
всегда пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск системы обнаружения атак Suricata 7.0 "  +1 +/
Сообщение от Quad Romb (ok), 21-Июл-23, 11:23 
> речь именно про qinqinq/triple vlan.
> всегда пожалуйста.

Тогда терминология там какая-то неудачная выбрана - "VLAN support extended from 2 to 3 layer". Потому что когда речь идёт о сетях, то понятие layer уже плотно-плотно занято.
Написали бы что нибудь типа stages - это ещё туда-сюда.
Нельзя в спецификациях понятия перегружать. Но тут не к Вам вопрос, это понятно.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Аноним (19), 20-Июл-23, 06:18 
Опаснейшая вещь. Если смотреть и сохранять сертификат пользователя то это шаг к цифровому концлагерю. Не остается ни каких секретов, кроме psk.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск системы обнаружения атак Suricata 7.0 "  +/
Сообщение от Пряник (?), 24-Июл-23, 11:31 
Прикольная программа для изучения трафика. Непонятно зачем ей функция блокировки, ведь на 10+ гигабитном узле маршрутизации её не поставить - ресурсов не хватит.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру