LINUX.ORG.RU

Suricata 6.0

 , ,


1

3

Анонсирован выпуск Suricata 6.0, который стал результатом года работы команды разработчиков OISF и сообщества Suricata. Разработчики сфокусировались на стабильности, надежности, производительности, поддержки новых протоколов (HTTP/2, MQTT и RFB), улучшении поддержки DCERPC, SSH, расширяемости. Некоторые части были переписаны на Rust’е.

Suricata – это система обнаружения и предупреждения вторжения (IDS/IPS) с открытым исходным кодом. Система разрабатывается Open Security Foundation. Она совместима с некоторыми системами, которые поддерживают Snort (в настоящее время принадлежит Cisco).

>>> Подробности

★★★★★

Проверено: a1batross ()

Не знал раньше, посмотрел видосик с ютуба и доку.

Ну может и круто, для энтерпрайза, у которого есть отдельные умные люди для секьюрити.

Там сложность в том как узнать какие рулы что конкретно означают (они и сами в доке пишут: It’s not always straight forward and sometimes not all of that information is available publicly.). И в их количестве :)

А для «простого» питонового вэб-аппа, на котором я сам слежу за обновлениями (ну и не запущено ничего что не нужно), и который за клаудфлэром (без ихнего вэб-апп-фаервола), есть толк в этом сурикате? Как я понял, там выгода будет лишь если мэйнтейнеры рулсета добавят рул для иксплойта быстрее чем мэйнтейнеры системы/апстрима пофиксят баг. Стоит ли оно усилий для «простого» сайта?

the1 ()
Ответ на: комментарий от mord0d

Для мелочёвки…

Ну мой сайт (которого пока нет, и не скоро будет, если) для меня не мелочь! :)

Вот посмотреть бы на сурикатовские рулы, которые очень полезны, и которые редко рекомендуются/реализуются под линуксами (iptables) или бсдями (pf).

the1 ()
Ответ на: комментарий от the1

для меня не мелочь

Давай смотреть на вещи объективно?

iptables

pf

Файерволл и IDS — это совершенно разные вещи, у них разные цели и область применения. Файерволл позволяет закрыть известные лазейки. IDS не предотвращает, оно позволяет обнаружить вторжение, которое уже произошло. IPS без IDS это как искать взведённую мину в тёмной комнате. Если у тебя нет достаточных знаний в этой области, то оно будет так же полезно, как мёртвому клизма. ☺

Я не отговариваю тебя потыкать, опыт может оказаться полезным, но пойми разницу.

mord0d ★★★ ()
Ответ на: комментарий от mord0d

Файерволл и IDS — это совершенно разные вещи

Ну почему совершенно? В iptables тоже есть логи. Вперёд, настраивай. Дело скорее в удобстве (как мне показалось). И в наличии большого числа готовых сторонних рулсетов.

the1 ()
Ответ на: комментарий от the1

Ну почему совершенно?

Потому что читай абзац полностью. Мне есть что добавить, но ты можешь изучить вопрос сам просто открыв какие-нибудь вики-статьи для начала.

mord0d ★★★ ()
Ответ на: комментарий от mord0d

Файерволл позволяет закрыть известные лазейки.

Лолшто? Ты точно FW с IPS не путаешь? FW позволит тебе что-то закрыть, только полностью закрыв порт и, как следствие, помножив доступность сервиса на ноль.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Ты точно FW с IPS не путаешь?

Я просто не смог объяснить нормально про файерволл, ну.

FW позволит тебе что-то закрыть, только полностью закрыв порт и, как следствие, помножив доступность сервиса на ноль.

Безопасность же! xD

mord0d ★★★ ()
Ответ на: комментарий от CaveRat

Ну это перебор. Хотя тоже часто используется, если, например, сервис не используется или используется только с определенных адресов или в определенных зонах.

Но есть и другие возможности, порт кнокинг, например. Или ограничение частоты запросов.

AVL2 ★★★★★ ()

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение. Лучше бы получать логи с файрволла и анализировать на отдельной машине.

AVL2 ★★★★★ ()

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение. Лучше бы получать логи с файрволла и анализировать на отдельной машине.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение.

Suricata умеет работать Inline, и это нормальное решение, если вы понимаете все риски, и умеете работать с ней.

Лучше бы получать логи с файрволла и анализировать на отдельной машине.

Да при чем тут логи с fw? Если тебя пугает установка inline - повесь на span.

CaveRat ★★ ()

система обнаружения и предупреждения вторжения (IDS/IPS) с открытым исходным кодом.

А если вторжение не с открытым исходным кодом?

anonymous ()