forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск системы обнаружения атак Suricata 7.0 , opennews (??), 19-Июл-23, (0) [смотреть все]

Много интересного конечно можно узнать, но толку то, если у всех ботнеты Атаки , Аноним (1), 10:56 , 19-Июл-23, (1) +1 //

чуть туть надо разобрарться если это WAF то он сразу просто режет трафик Вот тол, fi (ok), 12:20 , 19-Июл-23, (5) //

В смысле - скорее всего Насколько помню - ни в Хром, ни в Лисе нет поддержки HTT, Аноним (8), 16:10 , 19-Июл-23, (8) //

Ты видишь суслика , ну ты понял DDDD, fi (ok), 18:44 , 20-Июл-23, (27)

Не существует универсальных методов защиты Есть различные инструменты, которые з, noc101 (ok), 01:35 , 20-Июл-23, (15) //

Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не тем и сразу айпишник , Аноним (1), 01:43 , 20-Июл-23, (16) –3 //

Я понимаю, ты очень далек от основ безопасности компьютерной и сетевой инфрастру, noc101 (ok), 14:59 , 20-Июл-23, (22) –2

Пока только ты тут умничаешь И зачем ты это повторяешь, если тебе вообще нечего, Аноним (1), 15:38 , 20-Июл-23, (23) +2

Понятно Читать ты не умеешь Базой не владеешь Глупости продолжаешь писать Спор, noc101 (ok), 18:36 , 20-Июл-23, (25)

Просто мои навыки и опыт не имеют значения Имеет значение то, что ты пустослов,, Аноним (1), 18:43 , 20-Июл-23, (26)

У тебя нет навыков и опыта , noc101 (ok), 18:50 , 20-Июл-23, (29)

Тебе это неизвестно и сделать такой вывод из моих слов нельзя Зато из твоих сло, Аноним (1), 20:50 , 20-Июл-23, (31)

Ты не способен сказать Так как знаний нет , noc101 (ok), 03:30 , 21-Июл-23, (32)

Палю алгоритм близкой к 100 защите 1 забудьте про существование любых локальны, безопасник (?), 18:35 , 20-Июл-23, (24) –1

Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же, noc101 (ok), 18:49 , 20-Июл-23, (28)

есть универсальный метод защиты даёт 100 защиту от любых интернет атак и работ, ano (??), 07:40 , 20-Июл-23, (20) +1 //

На самом деле нет Есть ряд атак на офлайн устройства К примеру копирование инфор, noc101 (ok), 14:51 , 20-Июл-23, (21)
Крис Касперски опроверг это утверждение взломав такую систему в ходе тестировани, Win10 (?), 03:24 , 23-Июл-23, (36)

Как найти Не гуглится по крис касперски оффлайн взлом , Анониссимус (?), 12:15 , 24-Июл-23, (38)

А не надо на внешний периметр ставить Это все равно, что контролировать микробо, Аноним (18), 02:18 , 20-Июл-23, (18)
1 отсечь технически безграмотных их куда больше, чем тех у кого есть ботнет 2 , yilativs (?), 14:29 , 21-Июл-23, (35)

Правила по-прежнему в одном потоке загружает Или есть какие-то улучшения по это, Тимофей (??), 12:25 , 19-Июл-23, (6) //

Теперь использует столько тредов, сколько есть в CPU, и дополнительно возводит э, Аноним (7), 12:29 , 19-Июл-23, (7) +3 //

Точно не в минус первую Проверь пожалуйста , Аноним (9), 16:49 , 19-Июл-23, (9)

нуну вопрос чисто от балды, как обычно еще спросите а точно теперь не по масс, Аноним (12), 22:07 , 19-Июл-23, (12) //

по связанному списку при поиске совпадения по айпи Да, перебором, даже по масс, швондер (?), 23:49 , 19-Июл-23, (13) –1

А кто-нибудь понимает, что здесь имеется в виду Из офиц новости тоже не понятно, Alexander (ok), 17:50 , 19-Июл-23, (10) +1 //

Ну, как минимум нас уже двое - тех кто это не понимает , Quad Romb (ok), 19:40 , 19-Июл-23, (11) +3 //

Поддерживают вложенные вланы, не только двойные, как в qinq, но и тройные - qinq, швондер (?), 23:59 , 19-Июл-23, (14) +2 //

qinq - это не 3 уровень, извините Всё что работает с идентификацией по макам, х, Quad Romb (ok), 01:58 , 20-Июл-23, (17) –1

gt оверквотинг удален речь именно про qinqinq triple vlan всегда пожалуйста , швондер (?), 09:26 , 21-Июл-23, (33)

Тогда терминология там какая-то неудачная выбрана - VLAN support extended from , Quad Romb (ok), 11:23 , 21-Июл-23, (34) +1

Опаснейшая вещь Если смотреть и сохранять сертификат пользователя то это шаг к , Аноним (19), 06:18 , 20-Июл-23, (19)
Прикольная программа для изучения трафика Непонятно зачем ей функция блокировки, Пряник (?), 11:31 , 24-Июл-23, (37)

Сообщения [Сортировка по времени | RSS]

16. "Выпуск системы обнаружения атак Suricata 7.0 " –3 +/–

Сообщение от Аноним (1), 20-Июл-23, 01:43

Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не тем и сразу айпишник отправляем в чёрный список (который активно раздувается, только это ещё надо как-то не заблокировать легитимных клиентов которые могут прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А вот защита быстро становится неподъёмной.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск системы обнаружения атак Suricata 7.0 " –2 +/–

Сообщение от noc101 (ok), 20-Июл-23, 14:59

> Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не
> тем и сразу айпишник отправляем в чёрный список (который активно раздувается,
> только это ещё надо как-то не заблокировать легитимных клиентов которые могут
> прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования
> уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А
> вот защита быстро становится неподъёмной.
Я понимаю, ты очень далек от основ безопасности компьютерной и сетевой инфраструкты.
Если сервис не публичный. То есть варианты, когда по первому пакету, да айпи кидается в ЧС.
Если сервис публичный, то там сложней. Но и в этом случае есть алгоритмы по отслеживанию подозрительной деятельности. Она может состоять из множества подшагов, которые позволяют анализировать входящий трафик и определять довольно успешно атака или нет.
Повторюсь, ты явно незнаком с базой.
И еще раз повторюсь, защита компьютера и сетевой инфраструктуры, это ряд мер которые уменьшают вероятность взлома или выполнения других злонамеренных действий.
Никто не стремится прям на 100% обеспечить защиту, так как это невозможно.
Больше половины атак, происходит по простым алгоритмам, от которых отбится можно очень легко. Установкой обновлений, правильной настройкой огнестены, правильное предоставление доступов и банально хорошим паролем.
Это просто база, не умничай, если не понимаешь тему.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск системы обнаружения атак Suricata 7.0 " +2 +/–

Сообщение от Аноним (1), 20-Июл-23, 15:38

Пока только ты тут умничаешь. И зачем ты это повторяешь, если тебе вообще нечего сказать по теме? Ты у мамы теоретик, наверное. Речь была про странные сканирования, которые детектятся только визуальным анализом всех странных пакетов от всех адресов. Я наблюдаю кучу такой активности периодически и единственным решением было банить всё минимально подозрительное. Только базы пухнут и пользователи ноют, приходится делать блокировку временной. Но в этом и нет смысла, потому что каждый новый запрос приходит с другого айпи, ротация их пулов настроена таким образом, чтобы успевать выпадать из блока ко времени повторного запроса. Кроме того, есть много акторов, пока борешься с одним, 100 других начинают проявлять интерес. Это всё борьба с ветряными мельницами.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от noc101 (ok), 20-Июл-23, 18:36

Понятно. Читать ты не умеешь.
Базой не владеешь. Глупости продолжаешь писать.
Спорить не буду, продолжай писать глупости)

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от Аноним (1), 20-Июл-23, 18:43

Просто мои навыки и опыт не имеют значения. Имеет значение то, что ты пустослов, и ничего полезного сообщить не способен.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от noc101 (ok), 20-Июл-23, 18:50

> Просто мои навыки и опыт не имеют значения.
У тебя нет навыков и опыта.

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от Аноним (1), 20-Июл-23, 20:50

Тебе это неизвестно и сделать такой вывод из моих слов нельзя. Зато из твоих слов можно сделать однозначный вывод, что ты только брехать не по делу способен. Твои откровения слишком примитивны, чтобы их комментировать, а сказать ты ничего не можешь.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от noc101 (ok), 21-Июл-23, 03:30

Ты не способен сказать. Так как знаний нет.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск системы обнаружения атак Suricata 7.0 " –1 +/–

Сообщение от безопасник (?), 20-Июл-23, 18:35

Палю алгоритм близкой к 100% защите.
1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть по факту публичная и настроено в ней должно быть все точно так же как если бы торчало в интернеты.
2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим потом думаем, никакого предварительного тестирования быть тут не может, время ваш враг.
2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры в k8s это хорошая идея. Но пакетированые приложения и SElinux еще лучше.
3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить ничего дополнительного, только то что хост мог делать в нормальном режиме работы.
4. Торчите свое приложение по возможности только по http и ws. Подумайте 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.
5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным ключем который нельзя скопировать независимо от того сделано оно человеком или роботом.
Вместо снортов и сурикатов ваш трафик понюхает за вас AWS.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Выпуск системы обнаружения атак Suricata 7.0 " +/–

Сообщение от noc101 (ok), 20-Июл-23, 18:49

> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть
> по факту публичная и настроено в ней должно быть все точно
> так же как если бы торчало в интернеты.
Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей.
Зачем только ты пишешь забыть про локальную сеть? Это глупость.
> 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны
> дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ
> безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим
> потом думаем, никакого предварительного тестирования быть тут не может, время ваш
> враг.
Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя.
Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами)
> 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не
> должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры
> в k8s это хорошая идея. Но пакетированые приложения и SElinux еще
> лучше.
Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё.
> 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить
> ничего дополнительного, только то что хост мог делать в нормальном режиме
> работы.
Топ
> 4. Торчите свое приложение по возможности только по http и ws. Подумайте
> 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.
Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами.
> 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным
> ключем который нельзя скопировать независимо от того сделано оно человеком или
> роботом.
!!!
Жаль это идеал не достигается часто.
З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	16. "Выпуск системы обнаружения атак Suricata 7.0 "	–3 +/–
	Сообщение от Аноним (1), 20-Июл-23, 01:43
	Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не тем и сразу айпишник отправляем в чёрный список (который активно раздувается, только это ещё надо как-то не заблокировать легитимных клиентов которые могут прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А вот защита быстро становится неподъёмной.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск системы обнаружения атак Suricata 7.0 "	–2 +/–
	Сообщение от noc101 (ok), 20-Июл-23, 14:59
	> Ну допустим 1 пакет пришёл куда-то не туда или с чем-то не > тем и сразу айпишник отправляем в чёрный список (который активно раздувается, > только это ещё надо как-то не заблокировать легитимных клиентов которые могут > прислать что-то неожиданное и не туда). А если сервис публичный? Сканирования > уязвимостей сегодня очень умные, не палятся. Ничего сложного, всё автоматизировано. А > вот защита быстро становится неподъёмной. Я понимаю, ты очень далек от основ безопасности компьютерной и сетевой инфраструкты. Если сервис не публичный. То есть варианты, когда по первому пакету, да айпи кидается в ЧС. Если сервис публичный, то там сложней. Но и в этом случае есть алгоритмы по отслеживанию подозрительной деятельности. Она может состоять из множества подшагов, которые позволяют анализировать входящий трафик и определять довольно успешно атака или нет. Повторюсь, ты явно незнаком с базой. И еще раз повторюсь, защита компьютера и сетевой инфраструктуры, это ряд мер которые уменьшают вероятность взлома или выполнения других злонамеренных действий. Никто не стремится прям на 100% обеспечить защиту, так как это невозможно. Больше половины атак, происходит по простым алгоритмам, от которых отбится можно очень легко. Установкой обновлений, правильной настройкой огнестены, правильное предоставление доступов и банально хорошим паролем. Это просто база, не умничай, если не понимаешь тему.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск системы обнаружения атак Suricata 7.0 "	+2 +/–
	Сообщение от Аноним (1), 20-Июл-23, 15:38
	Пока только ты тут умничаешь. И зачем ты это повторяешь, если тебе вообще нечего сказать по теме? Ты у мамы теоретик, наверное. Речь была про странные сканирования, которые детектятся только визуальным анализом всех странных пакетов от всех адресов. Я наблюдаю кучу такой активности периодически и единственным решением было банить всё минимально подозрительное. Только базы пухнут и пользователи ноют, приходится делать блокировку временной. Но в этом и нет смысла, потому что каждый новый запрос приходит с другого айпи, ротация их пулов настроена таким образом, чтобы успевать выпадать из блока ко времени повторного запроса. Кроме того, есть много акторов, пока борешься с одним, 100 других начинают проявлять интерес. Это всё борьба с ветряными мельницами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от noc101 (ok), 20-Июл-23, 18:36
	Понятно. Читать ты не умеешь. Базой не владеешь. Глупости продолжаешь писать. Спорить не буду, продолжай писать глупости)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от Аноним (1), 20-Июл-23, 18:43
	Просто мои навыки и опыт не имеют значения. Имеет значение то, что ты пустослов, и ничего полезного сообщить не способен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от noc101 (ok), 20-Июл-23, 18:50
	> Просто мои навыки и опыт не имеют значения. У тебя нет навыков и опыта.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от Аноним (1), 20-Июл-23, 20:50
	Тебе это неизвестно и сделать такой вывод из моих слов нельзя. Зато из твоих слов можно сделать однозначный вывод, что ты только брехать не по делу способен. Твои откровения слишком примитивны, чтобы их комментировать, а сказать ты ничего не можешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от noc101 (ok), 21-Июл-23, 03:30
	Ты не способен сказать. Так как знаний нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск системы обнаружения атак Suricata 7.0 "	–1 +/–
	Сообщение от безопасник (?), 20-Июл-23, 18:35
	Палю алгоритм близкой к 100% защите. 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть по факту публичная и настроено в ней должно быть все точно так же как если бы торчало в интернеты. 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим потом думаем, никакого предварительного тестирования быть тут не может, время ваш враг. 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры в k8s это хорошая идея. Но пакетированые приложения и SElinux еще лучше. 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить ничего дополнительного, только то что хост мог делать в нормальном режиме работы. 4. Торчите свое приложение по возможности только по http и ws. Подумайте 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями. 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным ключем который нельзя скопировать независимо от того сделано оно человеком или роботом. Вместо снортов и сурикатов ваш трафик понюхает за вас AWS.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	28. "Выпуск системы обнаружения атак Suricata 7.0 "	+/–
	Сообщение от noc101 (ok), 20-Июл-23, 18:49
	> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть > по факту публичная и настроено в ней должно быть все точно > так же как если бы торчало в интернеты. Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей. Зачем только ты пишешь забыть про локальную сеть? Это глупость. > 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны > дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ > безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим > потом думаем, никакого предварительного тестирования быть тут не может, время ваш > враг. Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя. Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами) > 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не > должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры > в k8s это хорошая идея. Но пакетированые приложения и SElinux еще > лучше. Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё. > 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить > ничего дополнительного, только то что хост мог делать в нормальном режиме > работы. Топ > 4. Торчите свое приложение по возможности только по http и ws. Подумайте > 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями. Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами. > 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным > ключем который нельзя скопировать независимо от того сделано оно человеком или > роботом. !!! Жаль это идеал не достигается часто. З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору