После года разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 6.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2...Подробнее: https://www.opennet.me/opennews/art.shtml?num=53857
Cuda так и не вернули?
домашнему мастеру на заметку - перед обновлением сурикаты на продуктиве непременно проверьте ее на некритическом коммутаторе.а то при апгрейде с 4 что-то там на 5 наши безпечники четыре раза рестартовали коре свитч, куда это чудо было воткнуто двумя интерфейсами. оно при рестарте что-то такое отправляло в порты, что хьюлетовский свитч сам немедленно уходил в рестарт. в итоге 4 рестарта одного из ядерных коммутаторов за 30 минут самого что ни на есть бизнес тайма.
мой начальник потом мне чуть голову не откусил, потому что выдрали за простой, как обычно, кампютырщиков, а не безопасников.
Такие вещи надо сувать в портмиррор.
Два одинаковых коммента. Этот нормальный и ниже - токсичный. Почему токсичные собирают больше плюсов?
Где тут токсичный комментарий?
> Такие вещи надо сувать в портмиррор.ее сували в портмиррор, еще когда первый раз установили.
внимательнее читайте, речь шла об апгрейде работавшей системы. минуточку, как вы собираетесь бегать систему анализа l2 трафика в пределах свитча без портмиррора?
просто вот такая забавная фишка получилась после апгрейда, при коммутации сенсор интерфейса, или при запуске сурикаты на этом интерфейсе, hp свитч мгновенно уходил в рестарт, даже в лог пискнуть не успевал. это уже на резервном свитче экспериментировали. проверили на делле - никаких проблем.
В IDS режиме интерфейс открывается только на чтение. Поэтому описанное поведение имеет только одно объяснение: при попытке согласовать режим работы интерфейса "скорость/дуплекс/управление потоком" у вашего микротика или длинка есть не самые поддерживаемые варианты. Можно при помощи ethtool попробовать самостоятельно их найти, при необходимости технически полного отчета об инциденте.
тоесть вы это даже не через порт мироринг подняли? О_О
Я бы вам не то что голову откусил - жо..у на британский флаг порвал!
> тоесть вы это даже не через порт мироринг подняли? О_О
> Я бы вам не то что голову откусил - жо..у на британский
> флаг порвал!я рад, что здесь многие знают слова порт мирроринг. если б при этом вы еще умели читать все остальные слова, перед тем, как отвечать на комент, было бы ваще отлично.
> Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.А за что тогда растаманов ругают?
Ну вот например
https://redmine.openinfosecfoundation.org/issues/4064Т.е мало того что нужно тянуть хруст, так у тебя обязательно должен быть последний со всеми майнерами обновленными чейн ключами хозяев.
Снорт и Суриката - это как садиться на пороховую бочку, в любой момент могут перестать открываться критично важные сайты.
Бизнес - это как садиться на пороховую бочку, в любой момент могут
>>Начальная поддержка HTTP/2.Уже ШТТП3 включают кругом, а они ещё тут.
>Rustпечально. у меня уже не соберётся. рип детекция вторжений, хотя не то чтобы я и так очень хотел поставить себе этот spyware. а теперь из-за руста даже нельзя почитать исходники и посмотреть что же он у себя внутри делает.
врядли исходники бинарные. это же не конфиги системд.
ну они просто не читаемые. это как писать на перле и предлагать почитать исходники. такие исходники даже за деньги не все хотят читать.
Так и пиши: "я не осилил rust и perl".
ну удачки в установке бинарей потому что не компилится из исходников, и в вычитке "безопасных" исходников которые не читаются.а почему у них на гитхабе issues закрыты, ты не знаешь?
> удачки в установке бинарей потому что не компилится из исходников, и в вычитке "безопасных" исходников которые не читаются.Тут понимаешь какой затык: у *меня* обычно исходники компилятся и читаются.
> а почему у них на гитхабе issues закрыты, ты не знаешь?
Вот чего я точно не знаю — почему ты решил спросить это именно у меня? Но, так и быть, объясню. Так делают в тех случаях, когда используют другой баг-трекер. Ссылку на него обычно можно найти на официальном сайте. Но на всякий случай я нашёл её за тебя, вот: https://redmine.openinfosecfoundation.org/projects/suricata
Не вижу никаких проблем, хорошие чистые читаемые исходники, не перл не разу. Можете рассказать что именно вас смущает?
В том месте где надо покупать ненасытный комбайн с гигабайтами памяти опеределенной архитектуры ради прихоти автора которому на понедельник захотелось обрадовать своих пользователей хрустиками. А так все понятно, уходим на другую программу.
А и самое главное синтаксис. А точнее отсутствие любого желания его изучать.
Кручу сцрикату на pfsense. В принципе доволен.