В статье (http://rst.void.ru/papers/snort.txt) рассказывается про установку и тонкую настройку системы обнаружения атак на базе Snort (http://www.snort.org).URL: http://rst.void.ru/papers/snort.txt
Новость: http://www.opennet.me/opennews/art.shtml?num=7348
"...Во время написания данной статьи использовалась англоязычная литература по
той причине, что материала по IDS Snort на русском языке очень мало..."Относительно недавно вышела переводная книга по IDS Snort правда, рассматривается устаревшая версия 2.1
http://www.ozon.ru/context/detail/id/2458624/
Еще книжка которая хорошо идет к Снорту
"Обнаружение нарушений безопасности в сетях." Стивен Норткат, Джуди Новак
В ней же есть пара глав посвященных snort
Хорошая статья, жаль что подойдет только для небольшой сети.
Snort или статья "только для небольшой сети"?Для "большой сети" у 3Com есть Tipping Point 100Е.
Всего 15000 баксов за третий пень в 512 ОЗУ.Тот же пень со Снортом дает вчетверо лучшую производительность
при подавляющем функциональном превосходстве :)
вовсе и не третий а четвертый 2.4ГГц.
кстати не удивлюсь если там в типпинг поинте окажется снорт собранный под VXWorx
Даже если пень четвертый - 15 косых это чересчур бодро :)
сататья конечно же, на мой взгляд наиболее правильно сначала рисовать топологию сети, определять где будут располагаться сенсоры, база данных и т.д., а так сборная салянка на одном NAS сервер это тривиально.
Просто очень плохая.Не рассмотрены:
1. Ойнкмастер
2. Политики Снорта.Орга по распространению правил
3. ACID
4. Guardian etc.
5. И главное: КАК НЕ ПОСТАВИТЬ СВЯЗКУ Snort+Guardian РАКОМ.
(РАК: состояние файервола в позиции IP_FILTER_DEFAULT_BLOCK)
6. Писать такие статьи "по литературе" не надо. Поставил, отладил - пиши.
Можешь лучше?
Напиши!
С удовольствием почитаем. За одно покажешь, насколько ты крут.
А кидаться не развернутыми терминами......
Пишу...
>Пишу...
Ждем :)
а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ геморроемПС из личного опыта админа большого ИСП:
нафиг это пионерство! все в сад. берите PIX они того стоят.
ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
>а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ
>геморроем
>
>ПС из личного опыта админа большого ИСП:
> нафиг это пионерство! все в сад. берите PIX они того
>стоят.
>ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
>
Скажи мне сколько закладок тебе извесно в PIX, прошли слухи что в ираке PIX-ы и пр оборудование CISCO были удаленно вырублены (сам не видел , но доверия ко всему закрытому давно уже нет).
какие в баню специализированные DSP в Tipping Point? гигабитная двухголовая интеловская сетевуха pro/1000MT или интеловская мама имеет такие DSP на борту? http://www.thg.ru/network/3com_tipping_point_100e/3com_tippi...
Спасибо за ссылку, интересный анализ!> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
>Спасибо за ссылку, интересный анализ!
>
>> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
>
>Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
>Довольно просто. Сетевуха пашет в промиск режиме и принимает все пакеты, потом они обрабатываются и передаютя на выход или отбрасываются. МАК адрес при этом не меняется.
Т.о. данное устройство с точки зрения протоколов канального и выше уровней представляет из себя кусок кабеля.
ПППС IDS - прошлый век, комсомольцы смотрят в сторону IPS (prevention)
Опять пришли в 3Com TP? :-)
IPS без IDS работать не будет по любому. Давайте от незнания не парить мозги другим.Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита, но не обнаружение и предотвращение.
>Опять пришли в 3Com TP? :-)
>IPS без IDS работать не будет по любому. Давайте от незнания не
>парить мозги другим.
>
>Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита,
>но не обнаружение и предотвращение.
Посмотрите продукты линейки ASA 5500 и IPS 4200
Кто сказал, что у CISCO нет IPS?
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/produc...
Ставить до файерволе нельзя
в снорте довольно часто бывают уязвимости
и как ктото сказал "в промиске" -гемморой
надо давать ему или зеркало или за файерволом ставить
в ПРИНЦИПЕ не нужен.Его и ставят за.
Пикса как ИДС полное гавно, сигнатур маловато, да и как обновлять будете?А ТП просто рулит, последний продукт ИПСит 60 Гбит.
народ, если кто знает, какие еще есть системы подобного плана? хочу развернуть нечто подобное в своей сети (порядка 500 машин), в какую сторону лучше смотреть?
сцилка неробочая