Forum Debian Users Gang

To zależy od Aministratora( (ów) danej sieci, kumate osobniki w większości takie rzeczy stosują, żeby wykryć podejrzaną aktywność.
Co prawda, jak widać na wikileaks, nie zawsze im to wychodzi :), ale to bardzo fajna sprawa, np kiedy ktoś przyniesie (do roboty) robaka na pendrivie , zanim w zdąży rozejść się po 200 komputerach w sieci LAN, lepiej wiedzieć o nim, jak najwcześniej.

Ostatnio edytowany przez Jacekalex (2011-01-09 17:27:34)

Niezły jest snort, ewentualnie suricata, do tego fajnym programem jest  - "słoik miodu".

Generalnie snort - to na razie nr 1, - i od niego warto zacząć.

np Snort loguje w czsasie rzeczywistym, i może, po nalożeniu łaty snortsam - automatycznie wysyłać sygnał do demona Snortsam, żeby zablokował dany adres IP.
Mnie się jeszcze nie udało uruchomić snorta ze snortsamem, żeby to działało, parę razy widziałem na różnych stronach, że po nałożeniu łaty snortsam trzeba było poprawiać błędy w kodzie snorta.

Za to fajnie działał zestaw snort + guardian, dopóki snort nie zapisywał logów w postaci binarnej.
Obecnie można to zrobić ustawiając w guardianie - żeby czytał sysloga, a snort tam logował.

Osobiście wolę socet (fifo) -u mnie /dev/snort - ale guardian z tego na razie nie czyta, a mnie nie udało się go poprawić, chociaż przeróbka jest kosmetyczna - guardian jest napisany w perlu.

Edyta:

net-analyzer/snort-2.9.0.4 (active-response aruba debug decoder-preprocessor-rules dynamicplugin flexresp3 gre inline-init-failopen ipv6 linux-smp-stats mpls mysql normalizer odbc perfprofiling ppm react reload-error-restart selinux targetbased threads zlib)

z ta łatą: http://www.snortsam.net/files/snort-plugin/snortsam-2.9.0.3.diff.gz - skompilował się i zainstalował dość grzecznie, bez większych błędów.

Ciekawe, czy zadziała ;)

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-02-27 16:40:14)

Odpal na domowym kompie i zobacz, jakie obciążenie generuje.
Obciążenie poza tym zależy od ilości danych do przerobienia, przepustowości łącza, liczby równoczesnych połączeń, itp.

Ile kosztuje ten snort? bo generalnie na routerze się nie powinno (shakują router, snort -wyłączony) - snort powinien działać w mojej opinni wewnątrz sieci lokalnej, np na serwerze plików, za to sterować firewallem na routerze.

Poza tym skołuj sobie tą książkę: http://helion.pl/ksiazki/125_sposobow_na_bezpieczen … rt,125bs2.htm - tam masz niezły opis bezpieczeństwa sieci na wszystkich etapach projektowania.

Ponadto, moim zdaniem snort jest niezlym narzędziem uzupełniającym bezpieczeństwo,  a nie podstawowym.

Edyta:
Udało się uruchomić snorta z wtyczką snortsama, na razie się nie sypnął.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-02-28 18:40:20)

Tak przy okazji pytając, bo zaciekawił mnie tripwire, sensownym byłoby wdrażanie na jednym systemie tripwire i snorta równocześnie? Wydaje mi się, że tripwire oferuje to co jest niedostępne w snorcie, więc jak najbardziej tak?

Tak trochę z innej beczki, ale wciąż w temacie. Bo jeśli przykładowo Snorta postawię na serwerze sieciowym to nie ma problemu. Bada on sobie ruch, a sieć funkcjonuje cały czas jak wcześniej. A co w przypadku gdy nie mogę zainstalować Snorta na serwerze już działającym w ramach sieci tylko na komputerze nowodołączanym do struktury sieci? Zburzy on jej dotychczasowe działanie? Bo z tego co wiem to on musi działać jako taki router bardziej, a nie switch..