Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск дистрибутива SELKS 7.0, нацеленного на создание систем обнаружения вторжений"	+/–
Сообщение от opennews (?), 07-Апр-22, 13:27
Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 7.0, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме  и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Размер загрузочного образа 3 ГБ... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56983
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним2 (?), 07-Апр-22, 13:27	+/–
На первый взгляд очень достойно и ненаколеночно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #31, #35

2. Сообщение от Аноним (2), 07-Апр-22, 13:47	+/–
Аджакс можно выкидывать?
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от InuYasha (??), 07-Апр-22, 13:49	+1 +/–
ElasticSearch (T_T), Kibana (T_T), три гигабайта... Под эту штукадрючину ещё и пару серверов отгружать что-ли? У большинства корпоративов сразу встаёт вопрос: будет ли оно жить само по себе или можно интегрировать с имеющимися Прометеями и заббиксами. И многие резонно будут склоняться к "лучше я ещё алертных правил напишу".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #11, #12, #19

4. Сообщение от Аноним (4), 07-Апр-22, 13:51	+/–
Научите работать с сурикатой? Я тут запускал, но на только панику в логах наводит, что очередной китайский ботнет ломится (каждый раз с нового айпи). Какую ценность эта информация представляет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #29

5. Сообщение от Аноним (5), 07-Апр-22, 14:18	+/–
А на второй взгляд?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

6. Сообщение от WE (?), 07-Апр-22, 15:14	+1 +/–
А на второй - нужно присмотреться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от Аноним (7), 07-Апр-22, 15:39	+2 +/–
а на третий день зоркий глаз увидел ElasticSearch
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #21, #22

8. Сообщение от Аноним (8), 07-Апр-22, 15:43	–1 +/–
С каких пор для корпоративных клиентов пара серверов это проблема, не говор уже о трёх гигах дискового пространства? Если только это не корпорация ОАО РосПил под санкциями, но этих и не жалко, пусть хоть сгорят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14

9. Сообщение от Аноним (9), 07-Апр-22, 15:45	+/–
Я извиняюсь, но тут просится название CELKS
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (-), 07-Апр-22, 15:53	–1 +/–
>Наработки проекта распространяются под лицензией GPLv3 Так и только так! А то некоторые MIT-ят и BSD-ят. Мы говорим - нет пермиссивщине!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

11. Сообщение от пох. (?), 07-Апр-22, 15:55	+1 +/–
по моему ты какой-то неэффективный. > Под эту штукадрючину ещё и пару серверов отгружать что-ли? чего это серверов?! Пару кластеров! Зато смотри, смотри - pie charts! Менеджмент одобрит, зуб даю! > три гигабайта... это загрузочного образа. ЖРАТЬ оно будет - терабайтами. P.S. причем вся эта красотень разумеется совершенно бесполезна в реальной жизни, ибо никто не ищет атаки в пай чартах. А anomaly detection из г-на не бывает (точнее бывает - такое же г-но получается). P.P.S. ой, это я неподумавши. Очень даже может оказаться полезна, если как обычно, е6ластик без авторизации. Но не тем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13, #17, #25

12. Сообщение от анончик (?), 07-Апр-22, 15:55	+/–
у большинства корпоратов подобные siem системы типа всяких qradar и прочих соларвиндов и так живут независимо от девляпсо/сре-мониторингов. это чисто для безопасников штуковина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от анончик (?), 07-Апр-22, 15:57	+/–
> Менеджмент одобрит, зуб даю! разумеется одобрит, там же графики красивые есть 🤣
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #37

14. Сообщение от пох. (?), 07-Апр-22, 15:58	–3 +/–
Мнение подвальных умельцев считать чужие деньги очень важно для нас (нет). Обычно именно подвальным "пару серверов" не жалко совсем (все равно на них майнят втихушку). А корпоративные клиенты...впрочем те обычно не ставят IDS из г-на и палок. А вот ООО под санкциями - теперь будут, их цискин файр - он файр, через неделю сдохнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #34

15. Сообщение от Аноним (15), 07-Апр-22, 16:10	–2 +/–
Ты опять выходишь на связь? Все ж курсах давно, что до подвального умельца тебе на эникея ещё пять лет учиться. Кроме собственного локалхоста ничего в жизни не щупал, но своё мнение при каждом удобном случае кукарекнуть не забываешь. И, снова, сел в лужу со своим «аналлизом». Ей-богу, опеннет в несмешной цирк скатился. А когда-то был авторитетным ресурсом…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

16. Сообщение от пох. (?), 07-Апр-22, 16:11	–1 +/–
Блин, ну ты совсем бестолковый? Не работать тебе безопастником с большой паст....зарплатой. > Какую ценность эта информация представляет? матеръяльную. Распечатываешь красивый отчот с чартиками как ты героично отразил эвона сколько атак, и идешь за премией. Вот эта штука их уже готовые содержит, не надо будет самому рисовать. для всего остального шва6одкиные (as in free beer) идсы малопригодны. Кстати, есть вакансия в одной знакомой лавке... 300 тыщ ржублей и премия по итогам (ну то есть хрен там а не премия потому что время спецоперационное). Поди вот плохо за такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #39

17. Сообщение от InuYasha (??), 07-Апр-22, 17:04	+/–
> это загрузочного образа. ЖРАТЬ оно будет - терабайтами. Да, я как-то не сообразил что это не пакет и не ДОКЕРный образ. Если это целая ОС, то три гига - норм. А про данные - это у-у-у... А поскольку тут такие стабильные и надёжные технологии как эластик, надо обязательно будет натравить пром/заб/нагиос на ЭТО чтобы оно не развалилось на шарды от первого ООМа. И что-то подсказывает мне, что эти анализаторы можно было бы оформить в виде экспортеров к тому же прому (хоть я его и не оч люблю) и выводить барахло в графану. Ну да пофиг. Но это соображения, конечно. От реального APT вряд-ли защитит. А когда петух клюнет, и обычных алертов по bandwidth/io/disk utilization/ssh ping налетит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18

18. Сообщение от пох. (?), 07-Апр-22, 17:09	+/–
Как будто в докерном образе она меньше займет? Там не целая ось, там целый зоопарк смузитехнологий. > и выводить барахло в графану. фу какой ты немодный. Вот же - кибана!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от nebularia (ok), 07-Апр-22, 17:23	+/–
> Под эту штукадрючину ещё и пару серверов отгружать что-ли? Кто сейчас ставит на bare metal систему? На сервера ставится гипервизор и выделяются ресурсы, ну будет пара дополнительных виртуалок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #20, #26

20. Сообщение от пох. (?), 07-Апр-22, 18:04	+1 +/–
IDS? Действительно, кто эти м-ки? А, вон, циска какая-то... Да-да, давайте систему с доступом ко всей сети и возможностью легального перехвата всего траффика  впихнем куда попало рядом с десятком аутсорсерских виртуалочек с чятиками, роботами поддержки и прочей неведомой херней, и все ограничения снимем. И ресурсов для нее из воздуха наберем - облачные же ж технологии, тут все из воздуха - и диски, и процессоры. И их дофига, дофигее, дофигища - все бесплатно и нахаляву. А потом у них таких "ой, livemigration чавойта dead". Потому что мильен нужных и полезных виртуалочек по три гигабайта только одной самой системы. Ну и еще терабайтик нужных и полезных логов. Они правда почему-то вчера оказались кем-то нехорошим пошифрованными, но их все равно никто ж не читает. И так у вас - всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #38

21. Сообщение от КО (?), 07-Апр-22, 18:26	+1 +/–
Это через который по дефолту все тырят?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #33, #40

22. Сообщение от Аноним (22), 07-Апр-22, 18:55	+1 +/–
И не увидел сертификатов межведомственных партнеров, которые допускают его в корпоративную сеть. Значит - хотя и заманчиво, но нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24

23. Сообщение от Аноним (23), 07-Апр-22, 19:38	–4 +/–
Ещё фонатег с GPL головного мозга порвался, причем на ровном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #44

24. Сообщение от пох. (?), 07-Апр-22, 20:10	–9 +/–
Какие в стране одичалых нафиг сертификаты? Ставь ш...6ешплатное, пока скачать еще разрешают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #30

25. Сообщение от АнонимныйФанат (?), 07-Апр-22, 23:08	+/–
пох дело говорит. Если чо за его зубами можно придти, он сам зуб дал, не толпимся встаем в очередь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от АнонимныйФанат (?), 07-Апр-22, 23:11	+/–
Кто сча ставит гипервизоры? Серваки БУшные ген6 уже со складов подмели все, камазами перекупы вывозили - докер или lxc наше все, будет ну пару дополнительных контейнеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #32

27. Сообщение от Аноним (27), 08-Апр-22, 03:00	+1 +/–
> Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх Kibana Досвидания. Им только интерфейс для фильмов "про какеров" рисовать и красивые картинки начальству показывать, для повседневной работы это моргающее нечто непригодно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

28. Сообщение от Хмырь (?), 08-Апр-22, 05:40	+/–
Тундерболт с оперативной на печатной Плате, можно на прещепку. А то zrama не хватит, жопа тормозить бубет.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от john_erohin (?), 08-Апр-22, 06:24	–1 +/–
все очень просто. 1) надоел мусор в логах 2) заблокировал китай|корею|бангладеш|афганистан|урину|... на вход 3) ids заткнулась 4) goto 1 это психология.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #43

30. Сообщение от Аноним (30), 08-Апр-22, 10:12	+1 +/–
Вали с опеннета, дятел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Аноним (30), 08-Апр-22, 10:13	+/–
На Wazuh похоже. Но кроме сурикаты - он ещё и оссек умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от InuYasha (??), 08-Апр-22, 14:26	+/–
В следующий раз меня позовите, ладно? Мне просто пару сервов домой надо бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #47

33. Сообщение от InuYasha (??), 08-Апр-22, 14:48	+/–
Ага, и который ещё может внезапно пролиться через край и стать жертвой OOM Killer'а. И который при этом (и любом другом поводе) может войти в режим relocation hell. В общем, это Lady Java.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Сосед (?), 09-Апр-22, 18:20	+/–
Зря ты так считаешь - вполне достойно работают корпоративные NIDS серверы на свободном ПО.При том десятки лет. Мы, к примеру, проходим постоянные тесты сторонних сертифицированных аудитчиков. Если делать качественно, от души IDS, то свободное ПО норм отрабатывает.От "Кисок" намеренно отказался еще 10 лет назад, как оказалось сейчас - не зря.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

35. Сообщение от Сосед (?), 09-Апр-22, 18:26	+/–
Смущает то, что линь под это дело ставят. Лучше было бы (надежней ), на мой взгляд, на BSD-ях это делать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (-), 10-Апр-22, 01:14	+/–
А ты что за тупое агро чтобы поха в его скиллы носом тыкать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

37. Сообщение от Аноним (-), 10-Апр-22, 01:16	+/–
Тем временем хаксоры в корпоративчике будут тихо ржать пока манагер пырится в графики в которых все-равно ничерта не смыслит, как и секурити-эксперт вкативший это решение. Они б и громко ржали, но если на всю фирму разослать OLOLO LOL 0WNED - пчелы начнут что-то подозревать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

38. Сообщение от Аноним (-), 10-Апр-22, 01:21	+/–
> систему с доступом ко всей сети и возможностью легального перехвата всего траффика Так удобно же, особенно атакующим....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

39. Сообщение от Аноним (-), 10-Апр-22, 01:23	+/–
Да они и проприетарные примерно так же. Круто надеяться что кто-то сделает безопасность 1 кнопкой збс, ага. Такое довольно дорогое плацебо, а что, пипл хавает же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #42

40. Сообщение от Аноним (-), 10-Апр-22, 01:25	+/–
Сам организовал вторжение, сам зарепортил, удобно! Еще log4j надо было заюзать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

41. Сообщение от пох. (?), 10-Апр-22, 12:28	+/–
Не, ну здрасьте! А для чего еще она там по-твоему присопливлена? Именно чтоб "красивые картинки начальству". И вполне себе красивые. Сам ты с ней, кстати, подзатрахаешься такое же выкозюливать. А по факту - "Крупнейший в России агрохолдинг подвергся атаке шифровальщика" (нихрена никого не жалко). И чо, помог ему тут дистрибутив целок или как там его? А обновления винды отключены, конечно, а то вражеский пентагон нашлет порчу. Ой, а он и так наслал... или не он... оно само.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

42. Сообщение от пох. (?), 10-Апр-22, 12:32	+/–
Ну чуть лучше. Там "кнопку" обеспечивает коллектив индусских рабов, безостановочно клепающих новые и новые сигнатуры (иногда ломает прод, но кому ж мы признаемся). Его услуги, разумеется, надо оплачивать, и по подписке, которая дороже аплайанса выходит, причем - в год. И еще моментик - аплайансы - они нынче thread prevention, а не только бестолковые графики рисовать умеют. Т.е. есть шанс что оно не только прод положит, но и вовремя оборвет сессию, не дав позашифровать его нахрен. Правда, теперь уже не в Перде, а только в странах по ту сторону Стены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от пох. (?), 10-Апр-22, 12:34	+/–
А потом они переносят свои "навыки" с локалхоста на промышленные системы. Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что других уже нет) - и увольняет "при помощи ноги".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #45

44. Сообщение от пох. (?), 10-Апр-22, 12:34	+/–
смари-смари - четыре уже! (несите следующх!)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

45. Сообщение от john_erohin (?), 10-Апр-22, 14:14	+/–
> А потом они переносят свои "навыки" с локалхоста на промышленные системы. как известно "промышленные системы" - это те же локалхосты, просто в рекламных буклетах про них написано "industry-level", или как-то так. > Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что > других уже нет) по большому счету и китайских уже нет. >  - и увольняет "при помощи ноги". на зарплату в 2 раза больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #46

46. Сообщение от пох. (?), 11-Апр-22, 11:30	+/–
>> А потом они переносят свои "навыки" с локалхоста на промышленные системы. > как известно "промышленные системы" - это те же локалхосты, хорошие и правильные локалхосты - да (то есть меня на самом деле первые лет десять удивляло, когда я прихожу во что-то на порядок большее чем прошлое - неважно насколько то локалхост - и нахожу те же самые решения, в большинстве случаев, только отмасштабированные). Но это точно не те где блокируют китайские айпи "чтоб не светили в логах". Но так бывает тоже местами и временами. Ты вот не можешь в pro-active блокировки (куда более эффективно и меньше false positives) на основе данных _распределенной_ сети научиться на локалхосте или в подвале - хоть ты тресни. Нет у тебя просто для этого достаточного масштаба. > просто в рекламных буклетах про них написано "industry-level", или как-то так. не, вот это точно локалхосты, просто с манией величия. Те где не написано - там возможны варианты. >> Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что >> других уже нет) > по большому счету и китайских уже нет. ну здрасьте, а кому мы лес продаем тогда? Куда-то ж он девается. Между прочим - границу открыли! э... но есть нюанс. В смысле раисся открыла - а с той стороны - "идите на.... " То есть пересекать ее можно - но только китайскоподданным (при въезде назад их сажают на двухнедельный карантин в запертом снаружи помещении, но можно). Оно и понятно - лес в трубу не запихаешь, кто-то должен его катить или тащить. >>  - и увольняет "при помощи ноги". > на зарплату в 2 раза больше. надейся и жди. Вся жизнь впереди... то есть - недолго осталось потерпеть. А потом - в рай!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

47. Сообщение от пох. (?), 11-Апр-22, 11:34	+/–
> В следующий раз меня позовите, ладно? Мне просто пару сервов домой надо > бы. ты за эти деньги не захочешь. А вот пару armhf могу продать. Но недешево обойдется, контрабандный товар. На сайте производителя - "рюйске корабль - иди куда обычно".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема