The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Система обнаружения вторжений на базе IDS Snort"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Система обнаружения вторжений на базе IDS Snort"  
Сообщение от opennews on 18-Апр-06, 16:15 
В статье (http://rst.void.ru/papers/snort.txt) рассказывается про установку и тонкую настройку системы обнаружения атак на базе Snort (http://www.snort.org).

URL: http://rst.void.ru/papers/snort.txt
Новость: http://www.opennet.ru/opennews/art.shtml?num=7348

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Андрей Маркелов email on 18-Апр-06, 16:15 
"...Во время написания данной статьи использовалась англоязычная литература по
той причине, что материала по IDS Snort на русском языке очень мало..."

Относительно недавно вышела переводная книга по IDS Snort правда, рассматривается устаревшая версия 2.1
http://www.ozon.ru/context/detail/id/2458624/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от enterup (??) on 18-Апр-06, 16:39 
Еще книжка которая хорошо идет к Снорту
"Обнаружение нарушений безопасности в сетях." Стивен Норткат, Джуди Новак
В ней же есть пара глав посвященных snort
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от alex (??) on 18-Апр-06, 17:05 
Хорошая статья, жаль что подойдет только для небольшой сети.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Квагга on 18-Апр-06, 18:18 
Snort или статья "только для небольшой сети"?

Для "большой сети" у 3Com есть Tipping Point 100Е.
Всего 15000 баксов за третий пень в 512 ОЗУ.

Тот же пень со Снортом дает вчетверо лучшую производительность
при подавляющем функциональном превосходстве :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от balamutang on 18-Апр-06, 21:01 
вовсе и не третий а четвертый 2.4ГГц.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от balamutang on 18-Апр-06, 22:26 
кстати не удивлюсь если там в типпинг поинте окажется снорт собранный под VXWorx
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Квагга on 18-Апр-06, 22:35 
Даже если пень четвертый - 15 косых это чересчур бодро :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от alex (??) on 18-Апр-06, 21:32 
сататья конечно же, на мой взгляд наиболее правильно сначала рисовать топологию сети, определять где будут располагаться сенсоры, база данных и т.д., а так сборная салянка на одном NAS сервер это тривиально.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Статья отвратная"  
Сообщение от Квагга on 18-Апр-06, 18:14 
Просто очень плохая.

Не рассмотрены:
1. Ойнкмастер
2. Политики Снорта.Орга по распространению правил
3. ACID
4. Guardian etc.
5. И главное: КАК НЕ ПОСТАВИТЬ СВЯЗКУ Snort+Guardian РАКОМ.
(РАК: состояние файервола в позиции IP_FILTER_DEFAULT_BLOCK)
6. Писать такие статьи "по литературе" не надо. Поставил, отладил - пиши.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Статья отвратная"  
Сообщение от rrv on 19-Апр-06, 07:52 
Можешь лучше?
Напиши!
С удовольствием почитаем. За одно покажешь, насколько ты крут.
А кидаться не развернутыми терминами......
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Статья отвратная"  
Сообщение от Квагга on 19-Апр-06, 12:58 
Пишу...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Статья отвратная"  
Сообщение от rrv (ok) on 11-Май-06, 09:43 
>Пишу...
Ждем :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от gvf on 19-Апр-06, 00:28 
а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ геморроем

ПС из личного опыта админа большого ИСП:
  нафиг это пионерство! все в сад. берите PIX они того стоят.
ППС при чем тут мощь центрального проца??? там все решают специализированные DSP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от prog10 on 19-Апр-06, 09:27 
>а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ
>геморроем
>
>ПС из личного опыта админа большого ИСП:
>  нафиг это пионерство! все в сад. берите PIX они того
>стоят.
>ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
>
Скажи мне сколько закладок тебе извесно в PIX, прошли слухи что в ираке PIX-ы и пр оборудование CISCO были удаленно вырублены (сам не видел , но доверия ко всему закрытому давно уже нет).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от balamutang on 19-Апр-06, 20:31 
какие в баню специализированные DSP в Tipping Point? гигабитная двухголовая интеловская сетевуха pro/1000MT или интеловская мама имеет такие DSP на борту? http://www.thg.ru/network/3com_tipping_point_100e/3com_tippi...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от rr on 20-Апр-06, 05:08 
Спасибо за ссылку, интересный анализ!

> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса

Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Helagar on 20-Апр-06, 11:18 
>Спасибо за ссылку, интересный анализ!
>
>> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
>
>Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
>

Довольно просто. Сетевуха пашет в промиск режиме и принимает все пакеты, потом они обрабатываются и передаютя на выход или отбрасываются. МАК адрес при этом не меняется.

Т.о. данное устройство с точки зрения протоколов канального и выше уровней представляет из себя кусок кабеля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от gvf on 19-Апр-06, 00:31 
ПППС IDS - прошлый век, комсомольцы смотрят в сторону IPS (prevention)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Chris (??) on 19-Апр-06, 10:18 
Опять пришли в 3Com TP? :-)
IPS без IDS работать не будет по любому. Давайте от незнания не парить мозги другим.

Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита, но не обнаружение и предотвращение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от sbrv on 19-Апр-06, 10:42 
>Опять пришли в 3Com TP? :-)
>IPS без IDS работать не будет по любому. Давайте от незнания не
>парить мозги другим.
>
>Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита,
>но не обнаружение и предотвращение.


Посмотрите продукты линейки ASA 5500 и IPS 4200

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Аноним on 19-Апр-06, 10:49 
Кто сказал, что у CISCO нет IPS?


http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/produc...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Evgen (??) on 19-Апр-06, 11:03 
Ставить до файерволе нельзя
в снорте довольно часто бывают уязвимости
и как ктото сказал "в промиске" -гемморой
надо давать ему или зеркало или за файерволом ставить
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Snort ДО файрвола"  
Сообщение от Квагга on 20-Апр-06, 00:24 
в ПРИНЦИПЕ не нужен.

Его и ставят за.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от g_kos on 19-Апр-06, 14:22 
Пикса как ИДС полное гавно, сигнатур маловато, да и как обновлять будете?

А ТП просто рулит, последний продукт ИПСит 60 Гбит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "OpenNews: Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Иван (??) on 21-Апр-06, 12:09 
народ, если кто знает, какие еще есть системы подобного плана? хочу развернуть нечто подобное в своей сети (порядка 500 машин), в какую сторону лучше смотреть?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Система обнаружения вторжений на базе IDS Snort"  
Сообщение от Аноним (??) on 01-Окт-08, 18:40 
сцилка неробочая
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру