После двух с половиной лет разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 7.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59463
Много интересного конечно можно узнать, но толку то, если у всех ботнеты? Атаки ведутся с кучи адресов и их не отследить. Видишь, что кто-то занимается чем-то, ищет уязвимости, но нет даже смысла блокировать, потому что отделить от нормального трафика не реально и не повторяются.
чуть туть надо разобрарться.если это WAF то он сразу просто режет трафик.
Вот только вопрос - может ли он смотреть внутрь в HTTP2, там скорей всего будет tls.
В смысле - скорее всего?
Насколько помню - ни в Хром, ни в Лисе нет поддержки HTTP/2 без шифрования...
> В смысле - скорее всего?
> Насколько помню - ни в Хром, ни в Лисе нет поддержки HTTP/2
> без шифрования...Ты видишь суслика? ..., ну ты понял :DDDD
Не существует универсальных методов защиты.
Есть различные инструменты, которые закрывают различные потребности в защите. Тем самым минимизирую и усложняя взлом.
В этом суть защиты, минимизация и усложение.
Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не тем и сразу айпишник отправляем в чёрный список (который активно раздувается, только это ещё надо как-то не заблокировать легитимных клиентов которые могут прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А вот защита быстро становится неподъёмной.
> Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не
> тем и сразу айпишник отправляем в чёрный список (который активно раздувается,
> только это ещё надо как-то не заблокировать легитимных клиентов которые могут
> прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования
> уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А
> вот защита быстро становится неподъёмной.Я понимаю, ты очень далек от основ безопасности компьютерной и сетевой инфраструкты.
Если сервис не публичный. То есть варианты, когда по первому пакету, да айпи кидается в ЧС.
Если сервис публичный, то там сложней. Но и в этом случае есть алгоритмы по отслеживанию подозрительной деятельности. Она может состоять из множества подшагов, которые позволяют анализировать входящий трафик и определять довольно успешно атака или нет.Повторюсь, ты явно незнаком с базой.
И еще раз повторюсь, защита компьютера и сетевой инфраструктуры, это ряд мер которые уменьшают вероятность взлома или выполнения других злонамеренных действий.
Никто не стремится прям на 100% обеспечить защиту, так как это невозможно.
Больше половины атак, происходит по простым алгоритмам, от которых отбится можно очень легко. Установкой обновлений, правильной настройкой огнестены, правильное предоставление доступов и банально хорошим паролем.Это просто база, не умничай, если не понимаешь тему.
Пока только ты тут умничаешь. И зачем ты это повторяешь, если тебе вообще нечего сказать по теме? Ты у мамы теоретик, наверное. Речь была про странные сканирования, которые детектятся только визуальным анализом всех странных пакетов от всех адресов. Я наблюдаю кучу такой активности периодически и единственным решением было банить всё минимально подозрительное. Только базы пухнут и пользователи ноют, приходится делать блокировку временной. Но в этом и нет смысла, потому что каждый новый запрос приходит с другого айпи, ротация их пулов настроена таким образом, чтобы успевать выпадать из блока ко времени повторного запроса. Кроме того, есть много акторов, пока борешься с одним, 100 других начинают проявлять интерес. Это всё борьба с ветряными мельницами.
Понятно. Читать ты не умеешь.
Базой не владеешь. Глупости продолжаешь писать.
Спорить не буду, продолжай писать глупости)
Просто мои навыки и опыт не имеют значения. Имеет значение то, что ты пустослов, и ничего полезного сообщить не способен.
> Просто мои навыки и опыт не имеют значения.У тебя нет навыков и опыта.
Тебе это неизвестно и сделать такой вывод из моих слов нельзя. Зато из твоих слов можно сделать однозначный вывод, что ты только брехать не по делу способен. Твои откровения слишком примитивны, чтобы их комментировать, а сказать ты ничего не можешь.
Ты не способен сказать. Так как знаний нет.
Палю алгоритм близкой к 100% защите.
1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть по факту публичная и настроено в ней должно быть все точно так же как если бы торчало в интернеты.
2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим потом думаем, никакого предварительного тестирования быть тут не может, время ваш враг.
2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры в k8s это хорошая идея. Но пакетированые приложения и SElinux еще лучше.
3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить ничего дополнительного, только то что хост мог делать в нормальном режиме работы.
4. Торчите свое приложение по возможности только по http и ws. Подумайте 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.
5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным ключем который нельзя скопировать независимо от того сделано оно человеком или роботом.Вместо снортов и сурикатов ваш трафик понюхает за вас AWS.
> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть
> по факту публичная и настроено в ней должно быть все точно
> так же как если бы торчало в интернеты.Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей.
Зачем только ты пишешь забыть про локальную сеть? Это глупость.> 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны
> дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ
> безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим
> потом думаем, никакого предварительного тестирования быть тут не может, время ваш
> враг.Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя.
Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами)
> 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не
> должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры
> в k8s это хорошая идея. Но пакетированые приложения и SElinux еще
> лучше.Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё.
> 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить
> ничего дополнительного, только то что хост мог делать в нормальном режиме
> работы.Топ
> 4. Торчите свое приложение по возможности только по http и ws. Подумайте
> 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами.
> 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным
> ключем который нельзя скопировать независимо от того сделано оно человеком или
> роботом.!!!
Жаль это идеал не достигается часто.З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.
есть универсальный метод защиты. даёт 100% защиту от любых интернет атак и работает на любом оборудовании. просто не подключай это оборудование к интернету, всё.
На самом деле нет.
Есть ряд атак на офлайн устройства.
К примеру копирование информации на флешку. Интернет не нужен, абсолютно.
Крис Касперски опроверг это утверждение взломав такую систему в ходе тестирования по заказу и записал в определенный файл подтверждение своего взлома на целевой машине. Есть статья как он это сделал - очень интересная.
Как найти? Не гуглится по "крис касперски оффлайн взлом"
А не надо на внешний периметр ставить. Это все равно, что контролировать микробов в оружающем пространстве. Понятное дело, они есть по всюду. Другое дело контролировать там, где не должно быть плохого трафика.
1. отсечь технически безграмотных (их куда больше, чем тех у кого есть ботнет)
2. часть атак может быть сделана в одну команду и отсечь эти атаки тоже сурикатом или снортом можно.
Правила по-прежнему в одном потоке загружает? Или есть какие-то улучшения по этому поводу?
Теперь использует столько тредов, сколько есть в CPU, и дополнительно возводит это число в нулевую степень.
Точно не в минус первую? Проверь пожалуйста.
нуну. вопрос чисто от балды, как обычно. еще спросите "а точно теперь не по массиву циклом проходить будет"?
по связанному списку. при поиске совпадения по айпи. Да, перебором, даже по массиву циклом было бы быстрее.
> Добавлена поддержка VLAN Layer 3.А кто-нибудь понимает, что здесь имеется в виду?
Из офиц. новости тоже не понятно:
> VLAN support extended from 2 to 3 layers
Ну, как минимум нас уже двое - тех кто это не понимает.
Поддерживают вложенные вланы, не только двойные, как в qinq, но и тройные - qinqinq/triple vlans.
Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить пакеты, плюс надо запоминать эти вланы для обогащения алерта.
> Поддерживают вложенные вланы, не только двойные, как в qinq, но и тройные
> - qinqinq/triple vlans.
> Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить
> пакеты, плюс надо запоминать эти вланы для обогащения алерта.qinq - это не 3 уровень, извините.
Всё что работает с идентификацией по макам, хоть там n-ая степень вложения будет - это L2.
Ну, а тройные вланы - это, во-первых, собственность исключительно cisco, которая вылетает с российского рынка со свистом, а во-вторых - даже люди в операторах эту штуку старались не тыкать даже палочкой, уж больно там всё скучно было.Но за версию объяснения, тем не менее, спасибо.
>[оверквотинг удален]
>> Сдвиги эти не только ломают рсс сетевым картам, но и мешают парсить
>> пакеты, плюс надо запоминать эти вланы для обогащения алерта.
> qinq - это не 3 уровень, извините.
> Всё что работает с идентификацией по макам, хоть там n-ая степень вложения
> будет - это L2.
> Ну, а тройные вланы - это, во-первых, собственность исключительно cisco, которая вылетает
> с российского рынка со свистом, а во-вторых - даже люди в
> операторах эту штуку старались не тыкать даже палочкой, уж больно там
> всё скучно было.
> Но за версию объяснения, тем не менее, спасибо.речь именно про qinqinq/triple vlan.
всегда пожалуйста.
> речь именно про qinqinq/triple vlan.
> всегда пожалуйста.Тогда терминология там какая-то неудачная выбрана - "VLAN support extended from 2 to 3 layer". Потому что когда речь идёт о сетях, то понятие layer уже плотно-плотно занято.
Написали бы что нибудь типа stages - это ещё туда-сюда.
Нельзя в спецификациях понятия перегружать. Но тут не к Вам вопрос, это понятно.
Опаснейшая вещь. Если смотреть и сохранять сертификат пользователя то это шаг к цифровому концлагерю. Не остается ни каких секретов, кроме psk.
Прикольная программа для изучения трафика. Непонятно зачем ей функция блокировки, ведь на 10+ гигабитном узле маршрутизации её не поставить - ресурсов не хватит.
Обмазываю сурикатой похепе4. Не нравится. Но, без сурикаты еще хуже.