Выпуск системы обнаружения атак Snort 2.9.8.0

01.12.2015 12:10

Компания Cisco опубликовала новый значительный релиз Snort 2.9.8.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.

Основные новшества:

Поддержка инспектирования файлов, передаваемых при помощи протоколов SMBv2/SMBv3;
Средства профилирования производительности Lua-детекторов приложений (AppID);
Новый скрипт для создания на языке Lua простых детекторов приложений для AppID;
Новый вид предупреждений препроцессора, указывающих на выявление проброса SSH поверх HTTP;
Новая директива конфигурации disable_replace для отключения опции замены правил;
Новая настройка препроцессора Stream log_asymmetric_traffic для управления сброса логов через syslog;
Добавлен AppID API для пакетов DNS;
Проведена оптимизация потребления памяти;
Возможность отправки активных ответов по протоколу UDP;
В FTP-препроцессоре улучшены средства блокирования вредоносного ПО. Добавлена возможность разделения активных и пассивных FTP-соединений.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43422-snort

Ключевые слова: snort

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Аноним (-), 12:13, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а сигнатуры годные будут?

1.2, Меломан1 (?), 13:29, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Даже не знаю, как доверять Cisco безопасность своих систем, если Cisco использует одинаковые криптографические ключи и сертификаты вместе с другими производителями сетевого оборудования.

2.5, EuPhobos (ok), 14:24, 01/12/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Большая часть всего интернета построена на оборудовании Cisco, не доверяй, выдерни ПК из розетки, и пользуйся голубиной почтой =) Так что выбора нет. Монополизм такой монополизм..

2.9, Легион (?), 17:50, 01/12/2015 [^] [^^] [^^^] [ответить]	+/–
В руководстве Cisco паника. Собрали срочное совещание, рвут волосы на всех местах, решают, как не потерять твое доверие.

1.3, Аноним (-), 14:00, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А в сурикате есть инспектирование передаваемых по самбе файлов ?

1.4, Аноним (-), 14:03, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Эта версия умеет в многопоточность ?

2.6, Аноним (-), 15:06, 01/12/2015 [^] [^^] [^^^] [ответить]	+/–
Отвечу себе сам - "не умеет"

1.7, dkg (?), 16:40, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А есть на него какой-ндь годный web-интерфейс? Знаю только pfsense, но это enterprise комбайн.

2.13, Аноним (-), 06:55, 02/12/2015 [^] [^^] [^^^] [ответить]	+/–
Snorby

1.8, Аноним (-), 17:43, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В репах linuxmint Snort есть, только не знаю ставить его или нет? А то и навредить может. Кто знает, на что способен этот Snort.

1.10, InventoRs (ok), 20:27, 01/12/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пытались прикрутить, трафа всего пару гиг, логов просто не мерянно, ресурсы жрет, веба нормального нету, snorty умер и не ставится, а если и ставится то работает криво. В итоге простой вопрос, а есть что-то подобное и адекватное?

2.11, 123 (??), 20:51, 01/12/2015 [^] [^^] [^^^] [ответить]	+1 +/–
канал примерно в 50000 pps. полет нормальный. учись лучше.

3.12, thorvald (?), 21:51, 01/12/2015 [^] [^^] [^^^] [ответить]	–1 +/–
А подробнее, можно линк на что почитать про настройку снорта при большом трафе? А то тоже логи выедают все место.

Добавить комментарий

Текст: