Cette nouvelle branche propose une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée), et une évolution majeure dans l'écriture des règles : la compatibilité avec nos merveilleuses amies les regex (expressions rationnelles). La refonte des préprocesseurs devrait encore améliorer les performances tout en diminuant les faux positifs.
Pour mémoire, Snort est un outil de détection d'intrusions réseau (NIDS). Il est completé par une multitude de plugins et d'outils d'analyse. Il est considéré comme le meilleur NIDS par beaucoup de spécialistes.
Ce qui fait sa plus grande force est la facilité d'écriture de ses règles, qui sont régulièrement mises à jour par la communauté et des sites sérieux comme WhiteHats et ArachNIDS.
Aller plus loin
- Site de Snort (5 clics)
- Téléchargement de la nouvelle version (6 clics)
# Re: Sortie de Snort 2.1.0
Posté par David Latapie . Évalué à -10.
A moins que je confonde avec Fnord ?
P.S. : Preums
# Re: Sortie de Snort 2.1.0
Posté par Dionysos04 . Évalué à -10.
Merci Bilbo
# Re: Sortie de Snort 2.1.0
Posté par cedricv . Évalué à 3.
hum... c' est pas expression régulières plutôt?
[^] # Re: Sortie de Snort 2.1.0
Posté par Bilbo . Évalué à 10.
cf http://www.linuxfr-france.org.invalid/prj/jargonf/R/regex.html(...)
[^] # Re: Sortie de Snort 2.1.0
Posté par Amaury . Évalué à 9.
> hum... c' est pas expression régulières plutôt?
non.
mais l'erreur est fréquente.
[^] # Troll linguistique ?
Posté par nis (site web personnel) . Évalué à 10.
>> hum... c' est pas expression régulières plutôt?
>non.
>mais l'erreur est fréquente.
Les 2 sont acceptés, et les expressions régulières sont plus communément utilisées
(cf http://www.googlefight.com/cgi-bin/compare.pl?q1=%22expressions+r%E(...) si c'est valable comme argument ....)
, ça n'est pas une erreur.
Plus de détails dans la préface de "Maîtrise des expressions régulières" d'O'Reilly ...
[^] # Re: Troll linguistique ?
Posté par chl (site web personnel) . Évalué à 7.
citations :
http://www.linuxfr-france.org.invalid/prj/jargonf/E/expression_rationnelle.ht(...)
expression rationnelle
loc. f.
Chaîne de caractères décrivant le contenu de chaînes selon des conventions données (exemple : '?' remplace un caractère, '*' remplace n'importe quel groupe de caractères ...), le plus souvent utilisées afin de rechercher un texte.
http://www.linuxfr-france.org.invalid/prj/jargonf/E/expression_reacguliegrre.(...)
expression régulière
loc. f.
Précédemment, je disais ici même que cette locution était un Anglicisme provenant d'une mauvaise traduction de « regular expression ». En fait, manifestement, la traduction n'est pas plus mauvaise qu'une autre... (++).
[^] # Re: Troll linguistique ?
Posté par areu . Évalué à 6.
rationnel avait été proposé par M.P.Shützenberger (je crois) par analogie entre les langages rationnels et les fonctions rationnels.
[^] # Re: Troll linguistique ?
Posté par drac . Évalué à 3.
[^] # Re: Troll linguistique ?
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
Je ne sais pas trop si il y a une référence pour la traduction des termes techniques. En tous cas, si c'est une faute de traduction, elle est sans doute au moins aussi courrante que "implémentation" pour "implantation" (Ce qui est d'ailleurs assez comique : les deux mots ont pris une signification bien distinctes, alors que le premier n'est pas dans le dictionaire ;-)
[^] # Re: Troll linguistique ?
Posté par fmaz fmaz . Évalué à 2.
Ces langages rationnels forment une sous classe des langages algébriques. Ceux-ci sont les langages reconnus par des grammaires algébriques (context free en anglais dans le texte).
Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à coefficients entiers).
Mes deux centimes.
[^] # Re: Troll linguistique ?
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
> fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
> coefficients entiers).
Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. Pourtant, c'est bien une "regular expression", et un "rational number".
Même joueur, joue encore ...
[^] # Re: Troll linguistique ?
Posté par areu . Évalué à 1.
>> fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
>> coefficients entiers).
>
>Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. >Pourtant, c'est bien une "regular expression", et un "rational number".
>
>Même joueur, joue encore ...
oui mais les anglophones n'ont pas fait l'analogogie, en francais on utilise
plutot rationnel, mais rationnel=regulier. en fait, on dit plutot
langage rationnel et expression reguliere ....
ensemble des langages engendrés par expression reguliere= ensemble des langages reconnus par automates d'etats finis = ensemble des langages rationnels
[^] # Re: Troll linguistique ?
Posté par freePK . Évalué à 1.
Le seul mauvais livre des éditions O'Reilly, non pas du point de vue technique mais sur le plan de la traduction...
Le prendre en référence ne vaut rien sur ce coup-là : le livre est tellement bourré d'angliscisme qu'il en est pénible à lire : autant lire l'original...
Cela descridite d'ailleurs la démarche de l'auteur dans la préface sur la dualité rationnelle-régulière.
Personnellement, rationnelle est utilisée depuis le début par O'Reilly et l'excellente équipe de traducteurs et d'auteurs francophones. Je ne vois pas l'intérêt de revenir dessus, à part pour faire plaisir aux geeks qui pensent qu'une librairie est un morceau de code que l'on peut lier ou non dynamiquement avec le reste de son code...
PK
# Re: Sortie de Snort 2.1.0
Posté par passant·e . Évalué à 10.
Prélude est qualifié d'hybride car il permet de surveiller un serveur comme un réseau complet grâce à la dépose de sonde sur les noeuds important du réseau. Il est - était ? - compatible avec les règles de Snort et est capable de reverser les tests de Nessus pour les transformer en règles de filtrage.
j'en ai fini avec la pub :)
bonne soirée
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Sortie de Snort 2.1.0
Posté par snihf (site web personnel) . Évalué à 10.
Prelude est capable d'interagir avec Snort.
(En fait avec Snort, honeyd, nessus, nagios, systrace, libsafe et argus)
Voir : http://prelude-ids.org/rubrique.php3?id_rubrique=24(...)
# Frontend.
Posté par Jiquem . Évalué à 10.
Acutellement la version d'acidlab n'est pas à jour dans Debian pour des histoires de licenses, et le support PostgreSQL est brisé, c'est pourquoi je suis à la recherche d'un autre fronted du même type, si vous avez des noms de porjets intéressants, je suis preneur :)
[^] # Re: Frontend.
Posté par Ankill . Évalué à 8.
Il existe aussi SnortSnarf, créé par Silicon Defense. C'est un script perl qui traite les journaux de Snort et qui génère des pages HTML. Il a quelques fonctions en plus, comme la résolution des adresses IP en leur nom de domaine.
http://www.silicondefense.com/software/snortsnarf/(...)
Son intêret peut se trouver dans sa portablité, et qu'il fonctionne sans base de données de type Mysql.
Le bon duo serait Acid sur une machine dédiée, et SnortSnarf sur une autre accessible via son browser préféré.
Il y a aussi l'outil Scoring Tool du Center for Internet Security spécialement concu pour Windows. Je ne l'ai vu qu'une fois en oeuvre, donc je ne sais pas trop ce qu'il fait.
[^] # Re: Frontend.
Posté par Bilbo . Évalué à 4.
Il me flingue pratiquement tous mes process quand j'essaie de le faire tourner sur plus de 6h de logs. C'est vrai qu'il est agrébale à utiliser, mais çca reste quand même un problème.
[^] # Re: Frontend.
Posté par Guillaume D. . Évalué à 5.
c'est un faux problème :
"nice -n 20 SnortSnarf " et voila !
c'est pas beau linux !
guillaume
[^] # Linux ... Linux ... Euh ... Unix plutôt
Posté par Sébastien Santoro . Évalué à 1.
juste une toute petite préçision : nice est apparu dans AT&T UNIX, version 4 ;)
[^] # Re: Linux ... Linux ... Euh ... Unix plutôt
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
[^] # Re: Frontend.
Posté par cdtsylvestre . Évalué à 5.
pour les gérer , ajouter les nouvelles, les trier ....?
pque acid ne permet que d affiches les logs
j ai cherché (peut etre pas assez longtemps) mais j ai rien trouvé à part snort center mais qui n avance pas tres vite :-(
# Re: Sortie de Snort 2.1.0
Posté par Yoann Vandoorselaere . Évalué à 4.
Une fois pour toute: il faudrait bien comprendre que Snort n'a pas de système de plugins. Les "pré-processeurs" sont linkés à la compilation de Snort. Un plugin, lui, est une librairie chargable dynamiquement et Snort ne les supporte absolument pas.
> une évolution majeure dans l'écriture des règles : la compatibilité avec nos
> merveilleuses amies les regex (expressions rationnelles).
Merveilleuse: tout dépend du contexte.
Les regex sont certe un outil très puissant, mais aussi très gourmand au niveau du temps de traitement.
Je ne sais pas si vous connaissez les rulesets Snort, mais ceux-ci sont deja remplis à outrance de signatures plus qu'inutiles, ainsi que de signatures mal écrites (typiquement, une signature essayant de reconnaitre une chaine d'un seul caractère va affecter sans commune mesure les algorithmes de traitement de chaine du type Boyer Moore, rendant ceux-ci totalement inéfficaces).
Les regex apportent une facilité dans l'écriture des signatures, mais leur utilisation va dégrader les performances de façon très importante. Alors qu'une signature similaire, et bien plus rapide, aurait souvent pu etre écrite sans le support des regex (ou avec un support des regex _limité_).
> La refonte des préprocesseurs devrait encore améliorer les performances tout
> en diminuant les faux positifs.
La refonte des préprocesseurs n'améliorera pas les performances (ou alors de façon imperceptible).
Le cout majeur en terme de performances, provient des algorithmes de recherche de chaine, ainsi que du moteur de signature de Snort qui n'utilise pas un algorithme de traversé efficace.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.