The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Релиз системы обнаружения атак Snort 2.9.16.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.16.0"  +/
Сообщение от opennews (??), 13-Апр-20, 22:13 
Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52729

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Апр-20, 22:13   –1 +/
Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

2. Сообщение от Аноним (-), 13-Апр-20, 22:30   –3 +/
Очередной, индусо бэкдор, который защищает от индусского софта? Прекрасная /б/езопасность.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Анонимemail (3), 14-Апр-20, 00:04   +1 +/
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от pin (??), 14-Апр-20, 00:09   +/
> И у snort проблемы с производительностью.

Вам опять же показалось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (5), 14-Апр-20, 01:37   +1 +/
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #9, #11, #27

6. Сообщение от Аноним (-), 14-Апр-20, 02:38   +1 +/
А для дома эта штука пригодится?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

7. Сообщение от www2 (??), 14-Апр-20, 07:16   +1 +/
Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #14

8. Сообщение от Аноним (1), 14-Апр-20, 07:46   +4 +/
Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Andrey (??), 14-Апр-20, 09:19   +/
> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
> мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
> ты должен постоянно смотреть в логи, а если вдруг расслабился и
> решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
> ни логов, ни системы?

Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
Это комплексная защита периметра, а не десктопное приложение для админов localhost.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от нах. (?), 14-Апр-20, 10:01   –1 +/
Вы бл@ство с разнообразием-то не путайте.

Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.

И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.

А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.

Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #29

11. Сообщение от suricatamaster (?), 14-Апр-20, 11:17   +/
логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Урри (?), 14-Апр-20, 12:43   +/
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #18

13. Сообщение от Аноним (13), 14-Апр-20, 12:51   +2 +/
Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

14. Сообщение от Аноним84701 (ok), 14-Апр-20, 12:53   +/
> Это что за система такая, которую настолько просто взломать, что её нужно
> в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
> увидишь предупреждение? Успеешь сетевой шнурок выдернуть?

Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
Ну и не щелкать клювом!
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...

Если что, есть оригинал, умевший все это давным-давно
*копается в цифровой мусор^W кладовке*


-rw-r-----  1 Аноним  Аноним   1,7M 27 дек.   2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE

а не эти ваши новомодные смузи-каты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

15. Сообщение от Аноним (15), 14-Апр-20, 13:45   –1 +/
> Компания Cisco опубликовала

А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?

Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.

Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от suricatamaster (?), 14-Апр-20, 14:11   +1 +/
шикарный ui https://github.com/robcowart/synesis_lite_snort
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от нах. (?), 14-Апр-20, 14:29   –2 +/
> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?

ufw deny in from 172.16.0.0/12 ssh  - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок

Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?

А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

19. Сообщение от fff (??), 14-Апр-20, 15:50   +/
Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20, #21

20. Сообщение от нах. (?), 14-Апр-20, 17:15   +1 +/
я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0
А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле.

> Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит
> денег.

внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно.

139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае.

А остальной мой свежий урожай за вчера вот так выглядит:

    4   208  dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru
    8   512  212.46.18.0/24
    2   104  host-91-105-184-125.bbcustomer.zsttk.net
    3   156  net-31-132-211-144.king-online.ru
   97  4928  ip.178-69-40-160.avangarddsl.ru
    2   104  pppoe.178-65-167-56.dynamic.avangarddsl.ru
    5   256  46.164.243.125
  345 20700  46.164.192.0/18
    6   312  128-75-131-47.broadband.corbina.ru
    6   304  95-55-37-53.dynamic.avangarddsl.ru

вот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить.

Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем.

При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 14-Апр-20, 17:18   –1 +/
fail2ban уже "изобрели"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Урри (?), 14-Апр-20, 18:17   +/
В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).

А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Урри (?), 14-Апр-20, 18:27   +/
Спасибо, гляну.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

24. Сообщение от Урри (?), 14-Апр-20, 18:37   +/
Поставил, работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Валик (?), 14-Апр-20, 19:25   +/
> поставил

не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #26

26. Сообщение от Урри (?), 14-Апр-20, 22:32   +1 +/
> возможно придется подтюнить ... делается это через передачу параметра ядру

Спасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.

> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.

это есть.

> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.

Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от bobr (?), 15-Апр-20, 02:40   +1 +/
Эта штука не для десктопов. Тебе она не понадобится. Точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

28. Сообщение от Валик (?), 15-Апр-20, 03:33   –1 +/
весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от васянemail (?), 15-Апр-20, 09:39   +/
> А что в 2k20 делать

Вы там в 2200 совсем отупели?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру