Как не странно, но в форуме нету темы про IDS. (ибо по поиске не нашел) Кто не в теме: Заметил, что в России мало его используют. Интересно узнать кто из вам использует т.п. системы? А также интересует Honeypot системы. Какой IDS можете посоветовать, у которого есть понятный GUI, а то поставил SNORT и очень трудно понять что к чему, т.к. первый раз и сразу под консолем надо настроить. Хотел бы сначало почувствовать как работает, а потом уже консолями возится. Платформа желательно WIN32. Можно и под *NIX, если есть нормальный GUI.
Поддерживаю! Очень правильная тема! Предлагаю собрать все что у нас есть под все оси. Маны Хелпы. Может у кого то есть ФРИ доступ к платным обновлениям СНОРТА. Было б не плохо Под снорт есть ГУИ. Гуи настроек. Отчет все равно ляжет в текстовый файл или в БД mysql а потом уже с бд можно юзать сторонние проги, благо их куча. Гугл в помошь. Юзаю ACID
+1 в данный момент, поставил snort, исчю хорошие маны. Кто что найдет ценное, постите.Я думаю многим эта темка есчо пригодится. P.S. тс молоток
Спасибо за поддержку, ребята)) насчет снорта - есть рускоязычный неофициальный сайт: _http://www.snortgroup.ru/ там и доки, и видео (видео в основном на английском) Тоже хотел бы найти бесплатно (варез) Rules для снорта хочу поэксперементировать. А что скажете о других систем? например KFSensor..
cyber$nake а где именно? я скачал B|T4 RC, в каком разделе искать его? кстати, на BT если подымать Snort, то он уже готов к работе?
snort 2.8.5.1 для windows _http://slil.ru/28306258 + нужны библиотеки _http://depositfiles.com/ru/files/m8v6ftr9e snort 2.8.5.1 для nix _http://slil.ru/28306271 rules от 3.11.09 _http://slil.ru/28306232
SNORT BT3, путь где лежат рулесы:/etc/snort/rules чегота в B|T4 его я не нашел готов, services->snort->setup &..... (енто запуск)
cyber$nake да нашел то, но че-то не хочет стартануть. не ошибок выдает и не стартует. А видео смотрел как стартует, но у меня не присходит ничего, после того, как введи пароль для Mysql , и все. Хотя мжет страртует, просто я не догоняю.. как можно это проверить ?
- FAQ по снорту *nix_http://www.opennet.ru/base/faq/snort_faq_ru.txt.html отличный ман по устанвке, сам по нему поднимал _http://www.lissyara.su/articles/freebsd/security/snort/ - вот еще одна рульная тулза: PortSentry - средство противодействия сканированию портов, ман по установке и настройке: _http://www.lissyara.su/articles/freebsd/security/portsentry/
Спасибо. +1. Так это как аддон к снорту или отдельная тулза ? напишите немного подробно кк он работает и чем отличия от аналогов..
Portsentry - система обнаружения сканирования портов. Отдельное ПО под nix, не имеет ни какого отношения к снорту. Так то оно не очень мне понравилось, потому что лочит только если сканить сканерами LanScope или XSpider, а если сканить nmap, то ента тулза не детектит.
Херня тогда. щас LanScope и XSpider сканят школьники и начинающие хакиры )) так что, как сказал spider-intruder, это чушь ! Давайте поговорим пока о снорт. Вот, например, скажем, снорт только на шлюз ставят или можно внутри локалки тоже ставить, на отдельных рядовых серверах ? (БД, почта,веб и т.п.). расскажите каком сегменте и на каком патформе у вас стоит? какие инстрменты для управление (особо интересует графический интерфейс, т.к. до сих пор не осилил этот момент).
согласен, я так просто для разнообразия предложил. да хоть себе на рабочую станцию ставь. стоит как виндовых серверных платформах та и на никсовых. Basic Analysis and Security Engine (BASE) _http://base.secureideas.net/screens.php удобный графический веб интерфейс. Инсталляция и настройка все тамже _http://www.lissyara.su/articles/freebsd/security/snort/ есть кстати еще одна приблуда к снорту: Snortsam - плагин для snort, обеспечивающий блокировку атак.
Стоит в локалке. Подключена 3мя сетевухами в ключевые узлы сети. Отчеты пока в тексте. grep рулит Хотя планирую все же морды прикрутить но так лениво.
А, теперь понял. Snort работает как антивирус/файрволл, т.е. в режиме службы и он стартует и работает про перезагрузке, или запускается как обычная программа?
Примерно так. Это система обнаружения вторжений. Она стартует службой (демоном), мониторит сетефой трафик и используя постоянно обновляемый набор сигнатур пытается найти в сетевом трафике известные атаки, или вирусную активность.
для лучшей эффективности нужно размещать snort во всей иерархии сети т.е. примерно вот так это буит выглядеть (зонд-комп + snort) Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур. Зонд 2 анализирует серверный трафик. Здесь входящий трафик отфильтрован межсетевым экраном. При корректно настроенном брандмауэре это более безопасная зона сети. Из-за уменьшения величины трафика число ложных срабатываний сокращается. Зонд 2 должен быть настроен с учетом специфики серверов. Зонд 3 анализирует трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим, и потому следует уделять большее внимание сообщениям зонда 3.
