The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Система обнаружения вторжений на базе IDS Snort

18.04.2006 15:42

В статье рассказывается про установку и тонкую настройку системы обнаружения атак на базе Snort.

  1. Главная ссылка к новости (http://rst.void.ru/papers/snor...)
Лицензия: CC-BY
Источник: rus-linux.net
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/7348-security
Ключевые слова: security, ids, snort
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Андрей Маркелов (?), 16:15, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "...Во время написания данной статьи использовалась англоязычная литература по
    той причине, что материала по IDS Snort на русском языке очень мало..."

    Относительно недавно вышела переводная книга по IDS Snort правда, рассматривается устаревшая версия 2.1
    http://www.ozon.ru/context/detail/id/2458624/

     
  • 1.2, enterup (??), 16:39, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще книжка которая хорошо идет к Снорту
    "Обнаружение нарушений безопасности в сетях." Стивен Норткат, Джуди Новак
    В ней же есть пара глав посвященных snort
     
  • 1.3, alex (??), 17:05, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая статья, жаль что подойдет только для небольшой сети.
     
     
  • 2.5, Квагга (?), 18:18, 18/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Snort или статья "только для небольшой сети"?

    Для "большой сети" у 3Com есть Tipping Point 100Е.
    Всего 15000 баксов за третий пень в 512 ОЗУ.

    Тот же пень со Снортом дает вчетверо лучшую производительность
    при подавляющем функциональном превосходстве :)

     
     
  • 3.6, balamutang (?), 21:01, 18/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    вовсе и не третий а четвертый 2.4ГГц.
     
     
  • 4.8, balamutang (?), 22:26, 18/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    кстати не удивлюсь если там в типпинг поинте окажется снорт собранный под VXWorx
     
     
  • 5.9, Квагга (?), 22:35, 18/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если пень четвертый - 15 косых это чересчур бодро :)
     
  • 3.7, alex (??), 21:32, 18/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    сататья конечно же, на мой взгляд наиболее правильно сначала рисовать топологию сети, определять где будут располагаться сенсоры, база данных и т.д., а так сборная салянка на одном NAS сервер это тривиально.
     

  • 1.4, Квагга (?), 18:14, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто очень плохая.

    Не рассмотрены:
    1. Ойнкмастер
    2. Политики Снорта.Орга по распространению правил
    3. ACID
    4. Guardian etc.
    5. И главное: КАК НЕ ПОСТАВИТЬ СВЯЗКУ Snort+Guardian РАКОМ.
    (РАК: состояние файервола в позиции IP_FILTER_DEFAULT_BLOCK)
    6. Писать такие статьи "по литературе" не надо. Поставил, отладил - пиши.

     
     
  • 2.12, rrv (?), 07:52, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Можешь лучше?
    Напиши!
    С удовольствием почитаем. За одно покажешь, насколько ты крут.
    А кидаться не развернутыми терминами......
     
     
  • 3.18, Квагга (?), 12:58, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Пишу...
     
     
  • 4.25, rrv (ok), 09:43, 11/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Пишу...
    Ждем :)

     

  • 1.10, gvf (?), 00:28, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ геморроем

    ПС из личного опыта админа большого ИСП:
      нафиг это пионерство! все в сад. берите PIX они того стоят.
    ППС при чем тут мощь центрального проца??? там все решают специализированные DSP

     
     
  • 2.13, prog10 (?), 09:27, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ
    >геморроем
    >
    >ПС из личного опыта админа большого ИСП:
    >  нафиг это пионерство! все в сад. берите PIX они того
    >стоят.
    >ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
    >
    Скажи мне сколько закладок тебе извесно в PIX, прошли слухи что в ираке PIX-ы и пр оборудование CISCO были удаленно вырублены (сам не видел , но доверия ко всему закрытому давно уже нет).

     
  • 2.20, balamutang (?), 20:31, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    какие в баню специализированные DSP в Tipping Point? гигабитная двухголовая интеловская сетевуха pro/1000MT или интеловская мама имеет такие DSP на борту? http://www.thg.ru/network/3com_tipping_point_100e/3com_tipping_point_100e-01.
     
     
  • 3.22, rr (?), 05:08, 20/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за ссылку, интересный анализ!

    > система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса

    Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...

     
     
  • 4.23, Helagar (?), 11:18, 20/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Спасибо за ссылку, интересный анализ!
    >
    >> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
    >
    >Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
    >

    Довольно просто. Сетевуха пашет в промиск режиме и принимает все пакеты, потом они обрабатываются и передаютя на выход или отбрасываются. МАК адрес при этом не меняется.

    Т.о. данное устройство с точки зрения протоколов канального и выше уровней представляет из себя кусок кабеля.

     

  • 1.11, gvf (?), 00:31, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ПППС IDS - прошлый век, комсомольцы смотрят в сторону IPS (prevention)
     
  • 1.14, Chris (??), 10:18, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять пришли в 3Com TP? :-)
    IPS без IDS работать не будет по любому. Давайте от незнания не парить мозги другим.

    Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита, но не обнаружение и предотвращение.

     
     
  • 2.15, sbrv (?), 10:42, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Опять пришли в 3Com TP? :-)
    >IPS без IDS работать не будет по любому. Давайте от незнания не
    >парить мозги другим.
    >
    >Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита,
    >но не обнаружение и предотвращение.


    Посмотрите продукты линейки ASA 5500 и IPS 4200

     

  • 1.16, Аноним (-), 10:49, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто сказал, что у CISCO нет IPS?


    http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_data_sheet0918

     
  • 1.17, Evgen (??), 11:03, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ставить до файерволе нельзя
    в снорте довольно часто бывают уязвимости
    и как ктото сказал "в промиске" -гемморой
    надо давать ему или зеркало или за файерволом ставить
     
     
  • 2.21, Квагга (?), 00:24, 20/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    в ПРИНЦИПЕ не нужен.

    Его и ставят за.

     

  • 1.19, g_kos (?), 14:22, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пикса как ИДС полное гавно, сигнатур маловато, да и как обновлять будете?

    А ТП просто рулит, последний продукт ИПСит 60 Гбит.

     
  • 1.24, Иван (??), 12:09, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    народ, если кто знает, какие еще есть системы подобного плана? хочу развернуть нечто подобное в своей сети (порядка 500 машин), в какую сторону лучше смотреть?


     
  • 1.26, Аноним (26), 18:40, 01/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сцилка неробочая
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру