Sortie de Snort 2.1.0

Posté par  . Modéré par Amaury.
Étiquettes :
0
19
déc.
2003
Sécurité
La version 2.1.0 de Snort vient de sortir.

Cette nouvelle branche propose une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée), et une évolution majeure dans l'écriture des règles : la compatibilité avec nos merveilleuses amies les regex (expressions rationnelles). La refonte des préprocesseurs devrait encore améliorer les performances tout en diminuant les faux positifs.

Pour mémoire, Snort est un outil de détection d'intrusions réseau (NIDS). Il est completé par une multitude de plugins et d'outils d'analyse. Il est considéré comme le meilleur NIDS par beaucoup de spécialistes.

Ce qui fait sa plus grande force est la facilité d'écriture de ses règles, qui sont régulièrement mises à jour par la communauté et des sites sérieux comme WhiteHats et ArachNIDS.

Aller plus loin

  • # Re: Sortie de Snort 2.1.0

    Posté par  . Évalué à -10.

    J'ai un ami fana de sécurité qui va aimer.

    A moins que je confonde avec Fnord ?

    P.S. : Preums
  • # Re: Sortie de Snort 2.1.0

    Posté par  . Évalué à -10.

    Depuis le temps que je l'attendais, ca me remplit de joie :)

    Merci Bilbo
  • # Re: Sortie de Snort 2.1.0

    Posté par  . Évalué à 3.

    avec nos merveilleuses amies les regex (expressions rationnelles)

    hum... c' est pas expression régulières plutôt?
    • [^] # Re: Sortie de Snort 2.1.0

      Posté par  . Évalué à 10.

      Le rajout est du au modo, mais il me semble que la traduction technique de regular expression est bien "expression rationnelle".

      cf http://www.linux-france.org/prj/jargonf/R/regex.html(...)
    • [^] # Re: Sortie de Snort 2.1.0

      Posté par  . Évalué à 9.

      > > avec nos merveilleuses amies les regex (expressions rationnelles)
      > hum... c' est pas expression régulières plutôt?


      non.
      mais l'erreur est fréquente.
      • [^] # Troll linguistique ?

        Posté par  (site Web personnel) . Évalué à 10.

        >> > avec nos merveilleuses amies les regex (expressions rationnelles)
        >> hum... c' est pas expression régulières plutôt?
        >non.
        >mais l'erreur est fréquente.


        Les 2 sont acceptés, et les expressions régulières sont plus communément utilisées
        (cf http://www.googlefight.com/cgi-bin/compare.pl?q1=%22expressions+r%E(...) si c'est valable comme argument ....)
        , ça n'est pas une erreur.
        Plus de détails dans la préface de "Maîtrise des expressions régulières" d'O'Reilly ...
        • [^] # Re: Troll linguistique ?

          Posté par  (site Web personnel) . Évalué à 7.

          Je pensais comme Amaury, et puis j'ai changé d'avis :

          citations :

          http://www.linux-france.org/prj/jargonf/E/expression_rationnelle.ht(...)

          expression rationnelle

          loc. f.

          Chaîne de caractères décrivant le contenu de chaînes selon des conventions données (exemple : '?' remplace un caractère, '*' remplace n'importe quel groupe de caractères ...), le plus souvent utilisées afin de rechercher un texte.


          http://www.linux-france.org/prj/jargonf/E/expression_reacguliegrre.(...)

          expression régulière

          loc. f.

          Précédemment, je disais ici même que cette locution était un Anglicisme provenant d'une mauvaise traduction de « regular expression ». En fait, manifestement, la traduction n'est pas plus mauvaise qu'une autre... (++).
          • [^] # Re: Troll linguistique ?

            Posté par  . Évalué à 6.

            en fait les deux sont justes, reguliere est plutot utilisé par les anglophones, rationnel par la communauté française. En fait,
            rationnel avait été proposé par M.P.Shützenberger (je crois) par analogie entre les langages rationnels et les fonctions rationnels.
            • [^] # Re: Troll linguistique ?

              Posté par  . Évalué à 3.

              Moi, j'aurais dit qu'un langage rationnel pouvait être décrit à l'aide d'expression régulière. (enfin c'est peut etre qu'un vague souvenir)
              • [^] # Re: Troll linguistique ?

                Posté par  (site Web personnel) . Évalué à 2.

                Moi, on m'a toujours appris qu'un langage régulier était défini par une expression régulière. (Et j'ai fréquenté des gens relativement spécialistes de la question, ayant plus ou moins fait mon DEA là dessus ...)

                Je ne sais pas trop si il y a une référence pour la traduction des termes techniques. En tous cas, si c'est une faute de traduction, elle est sans doute au moins aussi courrante que "implémentation" pour "implantation" (Ce qui est d'ailleurs assez comique : les deux mots ont pris une signification bien distinctes, alors que le premier n'est pas dans le dictionaire ;-)
                • [^] # Re: Troll linguistique ?

                  Posté par  . Évalué à 2.

                  En français, on parle de langages rationnels. Les langages rationnels sont les langages décrits par des expressions rationnelles et ce sont ceux reconnus par des automates finis.
                  Ces langages rationnels forment une sous classe des langages algébriques. Ceux-ci sont les langages reconnus par des grammaires algébriques (context free en anglais dans le texte).
                  Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à coefficients entiers).

                  Mes deux centimes.
                  • [^] # Re: Troll linguistique ?

                    Posté par  (site Web personnel) . Évalué à 2.

                    > Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les
                    > fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
                    > coefficients entiers).

                    Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. Pourtant, c'est bien une "regular expression", et un "rational number".

                    Même joueur, joue encore ...
                    • [^] # Re: Troll linguistique ?

                      Posté par  . Évalué à 1.

                      >> Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les
                      >> fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
                      >> coefficients entiers).
                      >
                      >Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. >Pourtant, c'est bien une "regular expression", et un "rational number".
                      >
                      >Même joueur, joue encore ...

                      oui mais les anglophones n'ont pas fait l'analogogie, en francais on utilise
                      plutot rationnel, mais rationnel=regulier. en fait, on dit plutot
                      langage rationnel et expression reguliere ....

                      ensemble des langages engendrés par expression reguliere= ensemble des langages reconnus par automates d'etats finis = ensemble des langages rationnels
        • [^] # Re: Troll linguistique ?

          Posté par  . Évalué à 1.

          Plus de détails dans la préface de "Maîtrise des expressions régulières" d'O'Reilly ...

          Le seul mauvais livre des éditions O'Reilly, non pas du point de vue technique mais sur le plan de la traduction...

          Le prendre en référence ne vaut rien sur ce coup-là : le livre est tellement bourré d'angliscisme qu'il en est pénible à lire : autant lire l'original...

          Cela descridite d'ailleurs la démarche de l'auteur dans la préface sur la dualité rationnelle-régulière.

          Personnellement, rationnelle est utilisée depuis le début par O'Reilly et l'excellente équipe de traducteurs et d'auteurs francophones. Je ne vois pas l'intérêt de revenir dessus, à part pour faire plaisir aux geeks qui pensent qu'une librairie est un morceau de code que l'on peut lier ou non dynamiquement avec le reste de son code...

          PK
  • # Re: Sortie de Snort 2.1.0

    Posté par  . Évalué à 10.

    Pour ceux qui aiment bien les ids, il y a également le projet prelude http://www.prelude-ids.org/.(...)

    Prélude est qualifié d'hybride car il permet de surveiller un serveur comme un réseau complet grâce à la dépose de sonde sur les noeuds important du réseau. Il est - était ? - compatible avec les règles de Snort et est capable de reverser les tests de Nessus pour les transformer en règles de filtrage.

    j'en ai fini avec la pub :)

    bonne soirée

    Je trolle dès quand ça parle business, sécurité et sciences sociales

  • # Frontend.

    Posté par  . Évalué à 10.

    Niveau frontend, il y a http://acidlab.sf.net(...) qui permet de se faire une représentation graphique relativement intéressante. Pour l'utiliser il faut avoir configurer snort pour qu'il intéragisse avec une base de donnée.

    Acutellement la version d'acidlab n'est pas à jour dans Debian pour des histoires de licenses, et le support PostgreSQL est brisé, c'est pourquoi je suis à la recherche d'un autre fronted du même type, si vous avez des noms de porjets intéressants, je suis preneur :)
    • [^] # Re: Frontend.

      Posté par  . Évalué à 8.

      Au niveau frontend, je n'ai pas vu mieux qu'Acid pour l'instant.

      Il existe aussi SnortSnarf, créé par Silicon Defense. C'est un script perl qui traite les journaux de Snort et qui génère des pages HTML. Il a quelques fonctions en plus, comme la résolution des adresses IP en leur nom de domaine.
      http://www.silicondefense.com/software/snortsnarf/(...)
      Son intêret peut se trouver dans sa portablité, et qu'il fonctionne sans base de données de type Mysql.
      Le bon duo serait Acid sur une machine dédiée, et SnortSnarf sur une autre accessible via son browser préféré.

      Il y a aussi l'outil Scoring Tool du Center for Internet Security spécialement concu pour Windows. Je ne l'ai vu qu'une fois en oeuvre, donc je ne sais pas trop ce qu'il fait.
      • [^] # Re: Frontend.

        Posté par  . Évalué à 4.

        Je suis en train de mettre en oeuvre SnortSnarf pour traiter les logs de spp_portscan et spp_portscan2, et je peux te dire que si ACID est gourmant en mémoire, Snarf, lui, est un gros gros glouton...
        Il me flingue pratiquement tous mes process quand j'essaie de le faire tourner sur plus de 6h de logs. C'est vrai qu'il est agrébale à utiliser, mais çca reste quand même un problème.
    • [^] # Re: Frontend.

      Posté par  . Évalué à 5.

      et au niveau de l administration des regles?
      pour les gérer , ajouter les nouvelles, les trier ....?

      pque acid ne permet que d affiches les logs

      j ai cherché (peut etre pas assez longtemps) mais j ai rien trouvé à part snort center mais qui n avance pas tres vite :-(
  • # Re: Sortie de Snort 2.1.0

    Posté par  . Évalué à 4.

    > une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée)

    Une fois pour toute: il faudrait bien comprendre que Snort n'a pas de système de plugins. Les "pré-processeurs" sont linkés à la compilation de Snort. Un plugin, lui, est une librairie chargable dynamiquement et Snort ne les supporte absolument pas.

    > une évolution majeure dans l'écriture des règles : la compatibilité avec nos
    > merveilleuses amies les regex (expressions rationnelles).

    Merveilleuse: tout dépend du contexte.
    Les regex sont certe un outil très puissant, mais aussi très gourmand au niveau du temps de traitement.

    Je ne sais pas si vous connaissez les rulesets Snort, mais ceux-ci sont deja remplis à outrance de signatures plus qu'inutiles, ainsi que de signatures mal écrites (typiquement, une signature essayant de reconnaitre une chaine d'un seul caractère va affecter sans commune mesure les algorithmes de traitement de chaine du type Boyer Moore, rendant ceux-ci totalement inéfficaces).

    Les regex apportent une facilité dans l'écriture des signatures, mais leur utilisation va dégrader les performances de façon très importante. Alors qu'une signature similaire, et bien plus rapide, aurait souvent pu etre écrite sans le support des regex (ou avec un support des regex _limité_).

    > La refonte des préprocesseurs devrait encore améliorer les performances tout
    > en diminuant les faux positifs.

    La refonte des préprocesseurs n'améliorera pas les performances (ou alors de façon imperceptible).

    Le cout majeur en terme de performances, provient des algorithmes de recherche de chaine, ainsi que du moteur de signature de Snort qui n'utilise pas un algorithme de traversé efficace.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.