Разработчики: | Sourcefire |
Дата последнего релиза: | август 2011 года |
Отрасли: | Информационные технологии |
Технологии: | ИБ - Антивирусы, ИБ - Межсетевые экраны |
Содержание |
Snort – один из самых известных сетевых IDPS, используемый в более чем половине компаний из Fortune 500. Сигнатуры открыты и используются во многих сетевых системах обнаружения вторжений. Также используется во многих гибридных IDS (Prelude, OSSIM) и поддерживается многими системами мониторинга безопасности (Cisco Secutity MARS).
Snort был создан Мартиным Рошем (Martin Roesch), затем основавшим компанию Sourcefire, которая продолжает его разработку и подерживает коммерческую аппаратную IPS на базе Snort. Sourcefire интегрирована с комплексной системой защиты Sourcefire 3D System – корпоративной системой управления угрозами, которая содержит также систему контроля доступа и различные инструменты мониторинга и анализа. Snort можно использовать бесплатно. Система работает в нескольких режимах:
- режим сниффера – пакеты считываются из сети, информация о них выводится в потоковом режиме на консоль,
- режим журналирования – пакеты записываются на диск,
- режим NIDS – пакеты анализируются в соответствии с правилами, определенными пользователем,
- режим встраивания – пакеты принимаются не через библиотеку libpcap (позволяет осуществлять низкоуровневое наблюдение за пакетами), а через iptables и могут быть отброшены в соответствии с правилами.
Дополнительные функциональные модули Snort:
- Basic Analysis and Security Engine, BASE – веб-интерфейс для анлиза и просмотра логов
- Sguil – TCL/TK интерфейс для мониторинга сетевой безопасности
- RazorBack – реализация оповещения об обнаруженных сигнатур в реальном времени
- ClamAV – потоковый антивирусный сканер
- IDS Policy Manager – управление правилами Snort
Плюсы Snort – широкие возможности от использованных дополнительных модулей и открытость сигнатур. Минусы – сложность настройки при отсутствии удобной документации.
Snort – это фактический стандарт для предотвращения вторжений, разработанный Sourcefire, который насчитывает более 3,7 миллионов загрузок и более 225 000 зарегистрированных пользователей. Snort используют по всему миру чаще, чем любую другую технологию предотвращения вторжений. За последние десять лет сообщество Snort выросло в целую экосистему, пройдя путь от групп пользователей до разработки учебников и курсов, которые изучают в сотнях колледжей и университетов. Snort лучше известен специалистам по ИТ-безопасности, чем любая другая IPS-технология на рынке. Заказчики Sourcefire используют преимущества расширенной экосистемы Snort.
Snort 2.9.0
Наиболее важные улучшения:
- Режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snort запущен в активном inline-режиме, теперь используется новый препроцессор для нормализации пакетов, позволяя интерпретировать пакеты тем же способом, что и получающий эти пакеты хост;
- Задействование модуля DAQ (API для сбора данных, Data Acquisition API), который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket. При использовании libpcap теперь требуется как минимум версия 1.0 данной библиотеки. Код DAQ может быть обновлен независимо от Snort, так как теперь является независимым модулем.
- Обновлен код инспектирования HTTP-трафика (HTTP Inspect), который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP;
- Новая опция 'byte_extract' позволяет использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset;
- В SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующим передачи более одного сетевого пакета;
- Возможность тестирования правил блокирования пакетов. В режиме Inline Test Mode пакеты не отбрасываются, а только отражаются в логе как подлежащие блокировке;
- Новые опции правил для декодирования и инспектирования base64-блоков данных;
- Улучшена работа кода по декодированию IPv6-пакетов с целью улучшения определения аномалий;
- Добавлен пример создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort;
- Добавлен новый обработчик шаблонов, поддерживающий задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок.
Snort версии 2.9.1 RC.
Новая версия система Snort обладает препроцессором оценки репутаций IP адресов, который уже получил множество положительных отзывов от пользователей, испытавших Snort версии 2.9.1 RC.
- Новый препроцессор SIP
Препроцессор SIP имеет новые функции предупреждения о следующих видах аномалий:
- Недопустимая версия SIP
- Неизвестный метод SIP
- Несоответствие методу SIP
- Отсутствие заголовка пакета данных
- Новые препроцессоры POP3 и IMAP для декодирования вложений электронной почты в форматы Base64, Quoted Printable и UUENCODE
- Добавлена поддержка для чтения больших файлов PCAP
- Новый препроцессор оценки IP репутации
- Новый препроцессор dcerpc2
- Создание отчетов по полученным постовым вложениям и адресам получателей
- Прямой доступ к возможностям декодирования GZIP
- Несколько исправленных ошибок в протоколе Stream5
См. также
Ссылки
Название решения | Разработчик | Количество проектов | Технологии |
---|---|---|---|
Sourcefire Defense Center | Sourcefire | 0 | ИБ - Антивирусы, ИБ - Межсетевые экраны |
Sourcefire SSL Appliance | Sourcefire | 0 | ИБ - Межсетевые экраны |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1190)
Смарт-Софт (Smart-Soft) (5)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Информзащита (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (715, 493)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
SolidSoft (СолидСофт) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
ИнфоТеКС (Infotecs) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
X-Labs (Икс Лабз) (1, 1)
Код Безопасности (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 665
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (77)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (893)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (3)
Инфосистемы Джет (3)
Другие (53)
А-Реал Консалтинг (3)
Deiteriy (Дейтерий) (2)
Информзащита (2)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 366)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (365, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
Корп Софт (CorpSoft24) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
Научно-производственное объединение Адаптивные промышленные технологии (Апротех) (1, 1)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Security - 81
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 432
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kaspersky Industrial CyberSecurity (KICS) - 2
Trend Micro: Deep Discovery - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Industrial CyberSecurity (KICS) - 1
Kaspersky ASAP Automated Security Awareness Platform - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 3