URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 14612
[ Назад ]

Исходное сообщение
"OpenNews: Система обнаружения вторжений на базе IDS Snort"

Отправлено opennews , 18-Апр-06 16:15 
В статье (http://rst.void.ru/papers/snort.txt) рассказывается про установку и тонкую настройку системы обнаружения атак на базе Snort (http://www.snort.org).

URL: http://rst.void.ru/papers/snort.txt
Новость: http://www.opennet.me/opennews/art.shtml?num=7348


Содержание

Сообщения в этом обсуждении
"Система обнаружения вторжений на базе IDS Snort"
Отправлено Андрей Маркелов , 18-Апр-06 16:15 
"...Во время написания данной статьи использовалась англоязычная литература по
той причине, что материала по IDS Snort на русском языке очень мало..."

Относительно недавно вышела переводная книга по IDS Snort правда, рассматривается устаревшая версия 2.1
http://www.ozon.ru/context/detail/id/2458624/


"Система обнаружения вторжений на базе IDS Snort"
Отправлено enterup , 18-Апр-06 16:39 
Еще книжка которая хорошо идет к Снорту
"Обнаружение нарушений безопасности в сетях." Стивен Норткат, Джуди Новак
В ней же есть пара глав посвященных snort

"Система обнаружения вторжений на базе IDS Snort"
Отправлено alex , 18-Апр-06 17:05 
Хорошая статья, жаль что подойдет только для небольшой сети.

"Система обнаружения вторжений на базе IDS Snort"
Отправлено Квагга , 18-Апр-06 18:18 
Snort или статья "только для небольшой сети"?

Для "большой сети" у 3Com есть Tipping Point 100Е.
Всего 15000 баксов за третий пень в 512 ОЗУ.

Тот же пень со Снортом дает вчетверо лучшую производительность
при подавляющем функциональном превосходстве :)


"Система обнаружения вторжений на базе IDS Snort"
Отправлено balamutang , 18-Апр-06 21:01 
вовсе и не третий а четвертый 2.4ГГц.

"Система обнаружения вторжений на базе IDS Snort"
Отправлено balamutang , 18-Апр-06 22:26 
кстати не удивлюсь если там в типпинг поинте окажется снорт собранный под VXWorx

"Система обнаружения вторжений на базе IDS Snort"
Отправлено Квагга , 18-Апр-06 22:35 
Даже если пень четвертый - 15 косых это чересчур бодро :)

"Система обнаружения вторжений на базе IDS Snort"
Отправлено alex , 18-Апр-06 21:32 
сататья конечно же, на мой взгляд наиболее правильно сначала рисовать топологию сети, определять где будут располагаться сенсоры, база данных и т.д., а так сборная салянка на одном NAS сервер это тривиально.

"Статья отвратная"
Отправлено Квагга , 18-Апр-06 18:14 
Просто очень плохая.

Не рассмотрены:
1. Ойнкмастер
2. Политики Снорта.Орга по распространению правил
3. ACID
4. Guardian etc.
5. И главное: КАК НЕ ПОСТАВИТЬ СВЯЗКУ Snort+Guardian РАКОМ.
(РАК: состояние файервола в позиции IP_FILTER_DEFAULT_BLOCK)
6. Писать такие статьи "по литературе" не надо. Поставил, отладил - пиши.


"Статья отвратная"
Отправлено rrv , 19-Апр-06 07:52 
Можешь лучше?
Напиши!
С удовольствием почитаем. За одно покажешь, насколько ты крут.
А кидаться не развернутыми терминами......

"Статья отвратная"
Отправлено Квагга , 19-Апр-06 12:58 
Пишу...

"Статья отвратная"
Отправлено rrv , 11-Май-06 09:43 
>Пишу...
Ждем :)


"Система обнаружения вторжений на базе IDS Snort"
Отправлено gvf , 19-Апр-06 00:28 
а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ геморроем

ПС из личного опыта админа большого ИСП:
  нафиг это пионерство! все в сад. берите PIX они того стоят.
ППС при чем тут мощь центрального проца??? там все решают специализированные DSP


"Система обнаружения вторжений на базе IDS Snort"
Отправлено prog10 , 19-Апр-06 09:27 
>а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ
>геморроем
>
>ПС из личного опыта админа большого ИСП:
>  нафиг это пионерство! все в сад. берите PIX они того
>стоят.
>ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
>
Скажи мне сколько закладок тебе извесно в PIX, прошли слухи что в ираке PIX-ы и пр оборудование CISCO были удаленно вырублены (сам не видел , но доверия ко всему закрытому давно уже нет).


"Система обнаружения вторжений на базе IDS Snort"
Отправлено balamutang , 19-Апр-06 20:31 
какие в баню специализированные DSP в Tipping Point? гигабитная двухголовая интеловская сетевуха pro/1000MT или интеловская мама имеет такие DSP на борту? http://www.thg.ru/network/3com_tipping_point_100e/3com_tippi...

"Система обнаружения вторжений на базе IDS Snort"
Отправлено rr , 20-Апр-06 05:08 
Спасибо за ссылку, интересный анализ!

> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса

Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...


"Система обнаружения вторжений на базе IDS Snort"
Отправлено Helagar , 20-Апр-06 11:18 
>Спасибо за ссылку, интересный анализ!
>
>> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
>
>Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
>

Довольно просто. Сетевуха пашет в промиск режиме и принимает все пакеты, потом они обрабатываются и передаютя на выход или отбрасываются. МАК адрес при этом не меняется.

Т.о. данное устройство с точки зрения протоколов канального и выше уровней представляет из себя кусок кабеля.


"Система обнаружения вторжений на базе IDS Snort"
Отправлено gvf , 19-Апр-06 00:31 
ПППС IDS - прошлый век, комсомольцы смотрят в сторону IPS (prevention)

"Система обнаружения вторжений на базе IDS Snort"
Отправлено Chris , 19-Апр-06 10:18 
Опять пришли в 3Com TP? :-)
IPS без IDS работать не будет по любому. Давайте от незнания не парить мозги другим.

Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита, но не обнаружение и предотвращение.


"Система обнаружения вторжений на базе IDS Snort"
Отправлено sbrv , 19-Апр-06 10:42 
>Опять пришли в 3Com TP? :-)
>IPS без IDS работать не будет по любому. Давайте от незнания не
>парить мозги другим.
>
>Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита,
>но не обнаружение и предотвращение.


Посмотрите продукты линейки ASA 5500 и IPS 4200


"Система обнаружения вторжений на базе IDS Snort"
Отправлено Аноним , 19-Апр-06 10:49 
Кто сказал, что у CISCO нет IPS?


http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/produc...


"Система обнаружения вторжений на базе IDS Snort"
Отправлено Evgen , 19-Апр-06 11:03 
Ставить до файерволе нельзя
в снорте довольно часто бывают уязвимости
и как ктото сказал "в промиске" -гемморой
надо давать ему или зеркало или за файерволом ставить

"Snort ДО файрвола"
Отправлено Квагга , 20-Апр-06 00:24 
в ПРИНЦИПЕ не нужен.

Его и ставят за.


"Система обнаружения вторжений на базе IDS Snort"
Отправлено g_kos , 19-Апр-06 14:22 
Пикса как ИДС полное гавно, сигнатур маловато, да и как обновлять будете?

А ТП просто рулит, последний продукт ИПСит 60 Гбит.


"OpenNews: Система обнаружения вторжений на базе IDS Snort"
Отправлено Иван , 21-Апр-06 12:09 
народ, если кто знает, какие еще есть системы подобного плана? хочу развернуть нечто подобное в своей сети (порядка 500 машин), в какую сторону лучше смотреть?



"Система обнаружения вторжений на базе IDS Snort"
Отправлено Аноним , 01-Окт-08 18:40 
сцилка неробочая