Компания Cisco опубликовала релиз Snort 2.9.11.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти; Добавлена поддержка хранения имён файлов в Unicode для протокола SMB; Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID; Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media; Увеличена производительность в ситуациях достижения лимита на интенсивность SYN-пакетов и начала блокировки превышающего лимит трафика; Для платформы FreeBSD реализована возможность использования unix-сокетов для передачи команд рабочим процессам и
Организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 4.0. Suricata обеспечивает ускорения работы через задействование вычислений на стороне GPU (CUDA и OpenCL), поддерживает многопоточность для оптимального задействования мощностей многоядерных систем и имеет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2. Ветка Suricata 4.0 примечательна переходом к реализации некоторых компонентов на языке Rust с использованием библиотеки для создания парсеров Nom. В частности на языке Rust предложены новые парсеры для разбора трафика NFS, NTP и DNS, которые включаются при сборке Suricata с использованием опций "--enable-rust" и "--enable-rust-experimental". Поддержка компонентов на Rust пока носит
После почти двух лет разработки организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 3.0, примечательной поддержкой ускорения работы через задействование вычислений на стороне GPU (CUDA и OpenCL). Suricata также поддерживает многопоточность для оптимального задействования мощностей многоядерных систем и имеет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2. Из новшеств, добавленных в Suricata 3.0, можно отметить: Улучшены средства детектирования атак, в том числе поддержка xbits для выявления эксплоитов, передаваемых через несколько потоков, и возможность использования одного сервера для обработки правил выявления атак для нескольких клиентов (multi tenancy). Представлены расширенные средства
Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, также известной как проект Snort++. Работа над Snort 3 начата в 2005 году, но была заброшена. Работы возобновились в 2013 году после перехода Snort в руки компании Cisco. Идеи по усовершенствованию, переосмысление концепции и архитектуры было невозможно вписать в текущую кодовую базу, что привело к созданию новой ветки. Особенности первого альфа-выпуска Snort 3.0: Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов; Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов; Использование упрощённой конфигурации с поддержкой скриптинга; Модульная система для подключения базовых компонентов в форме плагинов; Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов; Возможность привязки буферов в правилах (sticky buffers); Система
Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort. Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика
Увидел свет релиз SmoothSec 3.2, дистрибутива на пакетной базе Debian GNU/Linux 7 "Wheezy", предоставляющего полностью готовое и преднастроенное окружение для развёртывания систем обнаружения и предотвращения атак. В состав включены такие приложения, как Snorby, Snort, Suricata, PulledPork и Pigsty. Настройка первичной конфигурации автоматизирована и предельно упрощена, что позволяет создавать системы IDS/IPS даже начинающими администраторами. Сборки дистрибутива подготовлены для архитектур i386 (789 Мб) и amd64 (714 Мб). Кроме обновления версий компонентов дистрибутива (Snort 2.9.5.3, Suricata 1.4.5, MariaDB 5.5.32, Pigsty 0.1.5), в систему интегрирован Sagan HIDS (Host Instruction Detection System), позволяющий выявлять аномалии на уровне протокола ARP. В состав включена порция новых утилит: Arpwatch, tcpxtract, ngrep, nast, ipgrab, tshark, justniffer, python-impacket, python idstools, python tcpextract, greppcap.py, percona-toolkit‎ и percona-xtrabackup.
Организация OISF (Open Information Security Foundation) объявила о выходе первой стабильной версии открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Создание данной системы спонсировалось правительством США. Уникальными особенностями Suricata являются поддержка ускорения работы с помощью технологии вычислений на видеоакселераторах NVIDIA CUDA, многопоточный режим работы, возможность обнаружения неизвестных типов сетевого трафика, большое количество вариантов захвата сетевого трафика, вплоть до получения его напрямую из ядра Linux. Более подробно про возможности системы Suricata можно прочитать в новости о выходе публичной бета версии.
Увидел свет релиз свободной системы обнаружения и предотвращения атак Snort 2.8.6, комбинирующий в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Система инспекции протокола HTTP разделена на 5 компонентов: Method, URI, Header (без учета cookie), Cookies и Body. При построении контентных и PCRE-правил теперь можно осуществлять поиск по одному или нескольким вышеперечисленным буферам. Добавлены новые параметры конфигурации, направленные на нормализацию HTTP-заголовков и содежимого cookies. Реализована поддержка декомпрессии фигурирующих в нескольких пакетах данных, сжатых методом gzip. Добавлен "чуткий" предварительный обработчик данных (Sensitive Data preprocessor), осуществляющий определение фактов присутствия персональных идентификационных данных в потоке трафика (Personally Identifiable Information, PII). Добавлена поддержка создания правил, позволяющих определить новые типы PII. Добавлен новый движок сравнения по
После трех лет разработки объединение OISF (Open Information Security Foundation) начало бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2. Особенности Suricata: Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем; Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту); Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и