Suricata 6.0

Нучо, кому-то помогло, уберегло, обнаружило, предупредило, защитило ?

поддержки

Не знал раньше, посмотрел видосик с ютуба и доку.

Ну может и круто, для энтерпрайза, у которого есть отдельные умные люди для секьюрити.

Там сложность в том как узнать какие рулы что конкретно означают (они и сами в доке пишут: It’s not always straight forward and sometimes not all of that information is available publicly.). И в их количестве :)

А для «простого» питонового вэб-аппа, на котором я сам слежу за обновлениями (ну и не запущено ничего что не нужно), и который за клаудфлэром (без ихнего вэб-апп-фаервола), есть толк в этом сурикате? Как я понял, там выгода будет лишь если мэйнтейнеры рулсета добавят рул для иксплойта быстрее чем мэйнтейнеры системы/апстрима пофиксят баг. Стоит ли оно усилий для «простого» сайта?

что с сурикатой, что без сурикаты ваша страничко - дырявое решето. за подробностями - стоит установить.

Стоит ли оно усилий для «простого» сайта?

У сабжа другая область применения.

Для мелочёвки это как из ПЗРК мух истреблять. ☺

Для мелочёвки…

Ну мой сайт (которого пока нет, и не скоро будет, если) для меня не мелочь! :)

Вот посмотреть бы на сурикатовские рулы, которые очень полезны, и которые редко рекомендуются/реализуются под линуксами (iptables) или бсдями (pf).

для меня не мелочь

Давай смотреть на вещи объективно?

iptables

pf

Файерволл и IDS — это совершенно разные вещи, у них разные цели и область применения. Файерволл позволяет закрыть известные лазейки. IDS не предотвращает, оно позволяет обнаружить вторжение, которое уже произошло. IPS без IDS это как искать взведённую мину в тёмной комнате. Если у тебя нет достаточных знаний в этой области, то оно будет так же полезно, как мёртвому клизма. ☺

Я не отговариваю тебя потыкать, опыт может оказаться полезным, но пойми разницу.

Файерволл и IDS — это совершенно разные вещи

Ну почему совершенно? В iptables тоже есть логи. Вперёд, настраивай. Дело скорее в удобстве (как мне показалось). И в наличии большого числа готовых сторонних рулсетов.

Под pfsense\opnsense есть готовый пакет.

Ну почему совершенно?

Потому что читай абзац полностью. Мне есть что добавить, но ты можешь изучить вопрос сам просто открыв какие-нибудь вики-статьи для начала.

Файерволл позволяет закрыть известные лазейки.

ШТА?

Можешь объяснить лучше — вперёд. У меня человеческий язык плохо получается, а русский вообще сложный (и вообще беден в техническом плане).

Файерволл позволяет закрыть известные лазейки.

Лолшто? Ты точно FW с IPS не путаешь? FW позволит тебе что-то закрыть, только полностью закрыв порт и, как следствие, помножив доступность сервиса на ноль.

Ну почему совершенно? В iptables тоже есть логи.

При чем тут логи?

Ты точно FW с IPS не путаешь?

Я просто не смог объяснить нормально про файерволл, ну.

FW позволит тебе что-то закрыть, только полностью закрыв порт и, как следствие, помножив доступность сервиса на ноль.

Безопасность же! xD

Ну это перебор. Хотя тоже часто используется, если, например, сервис не используется или используется только с определенных адресов или в определенных зонах.

Но есть и другие возможности, порт кнокинг, например. Или ограничение частоты запросов.

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение. Лучше бы получать логи с файрволла и анализировать на отдельной машине.

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение. Лучше бы получать логи с файрволла и анализировать на отдельной машине.

Я так понимаю, она рассчитана на запуск на файрволле. Не самое хорошее решение.

Suricata умеет работать Inline, и это нормальное решение, если вы понимаете все риски, и умеете работать с ней.

Лучше бы получать логи с файрволла и анализировать на отдельной машине.

Да при чем тут логи с fw? Если тебя пугает установка inline - повесь на span.

система обнаружения и предупреждения вторжения (IDS/IPS) с открытым исходным кодом.

А если вторжение не с открытым исходным кодом?