URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3968
[ Назад ]

Исходное сообщение
"Использование snort в ЛВС"

Отправлено Констнтин , 15-Сен-08 11:27 
Здравствуйте.
У меня такой вопрос:
Можно ли программу snort использовать для мониторинга вирусной активности в локальной сети?
Так как я читал описание программы, в ней сказано, что она предназначена для обнаружения атаки.
И кто-нибудь использует snort?
есть ли другие программы? А то я нахожу только сканеры безопасности и все.
Спасибо

Содержание

Сообщения в этом обсуждении
"Использование snort в ЛВС"
Отправлено SKazurov , 15-Сен-08 12:43 
Нет, Snort для этого не подойдет, разве только что потом смотреть как вас атакуют хакеры, которые вам аирус прислали.
На клиентских машинах какая ось стоит?
ClamAV может собирать статистику и, соответсвенно, давать ее просматривать.



"Использование snort в ЛВС"
Отправлено Констнтин , 15-Сен-08 13:06 
>Нет, Snort для этого не подойдет, разве только что потом смотреть как
>вас атакуют хакеры, которые вам аирус прислали.
>На клиентских машинах какая ось стоит?
>ClamAV может собирать статистику и, соответсвенно, давать ее просматривать.

Дело в том что сервера на Linux и FreeBSD. А клиенты винда. Хоть и на клиентах стоит антивирус, но этого мало, хотелось бы чтобы стоял какой-то анализатор вирусной активности особенно по сети.


"Использование snort в ЛВС"
Отправлено SKazurov , 15-Сен-08 13:40 
Попробуйте http://w32.clamav.net/, может там тоже такая возможность есть?



"Использование snort в ЛВС"
Отправлено Констнтин , 16-Сен-08 11:09 
>Попробуйте http://w32.clamav.net/, может там тоже такая возможность есть?

Других средств нет? Или надо ковыряться с tcpdum-ом?


"Использование snort в ЛВС"
Отправлено all , 29-Сен-08 14:48 
>>Попробуйте http://w32.clamav.net/, может там тоже такая возможность есть?
>
>Других средств нет? Или надо ковыряться с tcpdum-ом?

Я использую snort + snortsam на шлюзе, по косвенным признакам можно определить вирусную активность, но не всю конечно, например заблокировать коннекты  на 25 порт, если этих коннектов больше 10 в минуты, очень помогает от всяких спам рассылок