navigat0r Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю.. Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это. ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов). Если я не прав, то рад буду узнать правду !
зачем на каждый?! в конфиге прописал диапазон ip(наших серверов) в переменной $HOME_NET и он будет логировать и предупреждать об атаках на данные ip
хмм. как то не понимаю что за такой механзм! как он удаленно следит что творится на удаленном шлюзе? Ну тогда зачем делать ARP спуфинг, вот поставили бы Снорт и без никаких проблем смотрели сетевая активность удаленного узла..
B1t.exe, изначально тебя неправильно понял, а может и ты меня зонд должен быть подключен к каждому серверу, но нет нужды для каждого сервера ставить отдельный зонд.Все зависит от спецификации серверов.
не, друг. все таки IDS надо ставить на каждый сервер. Как ты говоришь - это похож на cloud(облочного) технологий. который , на сколько я знаю, snort не умеет.
коллеги, кто пользуется Snort_ом под Windows ? установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде? Ибо после боя кулаками не надо махать..
постьвь морду. Snorby, читал, что не плохая. _http://github.com/mephux/Snorby офф сайт _http://snorby.org/
navigat0r спасибо мен. ! вот только не понимаю что так к чему .. это точно под винду ? че то не понятно как так насраивается.. знаком тебе анализатор от KIWI ? нормальная штука ? в официальном мане про это написано, но не ставил как-то..
apach(к примеру) поднять нада, на него льешь snorby. а потом по wiki, snorby настраиваешь(русских манов не нашел), на офф сайте wiki под него есть(только на англ). Ща не дома, поэтому точно сказать не могу, что да как.(на работе). не, KIWI не знаком P.S. Комент к репе приятный )
вот есчо интересная вещь для настройки snort`a _http://www.snortgroup.ru/node/74 Snort Webmin Interface руководство по настройке snort для nix здесь
Snort Webmin Interface - ха. webmin мне вседа прикалывал в линуксах ) не раз спас меня ))))) но жаль под винду нет такого хери. знаешь, в каком то видекурсе видел какой то веб-интерфейс. на сколько понял - это ходит в стандартный набор снорта.. хотя я не смог найти такое. тоже буду дома, напишу что за интерфейс.. (хотя не помню под винды или под никс делали)
Короче нашел, но оказтвается он под linux. Вот даже скрин снял: У тебя тоже такая морда ? вот он ставился вместе с снортом вроде.. вот скрин именно с этого места: Под Windows XP хочу такое замутить ))
B1t.exe, сам не разбирался, пока некогда, сессия, работа )) да и linux стоит, время появится поставлю snort и на винду и там покавыряюсь Расширения, модули и плагины для Snort _http://snortgroup.ru/node/23 хз, но может эт те поможет
))) тоже самое и у меня.. + к этому лабуды еще и дипломную надо делать ! но как говорится - уныватся не надо )))
navigat0r нее ) немного ипался, но ничего толком не получился. у меня на ноуте еще и есть BT4 (снорт там есть Snort),просто как то не понимаю почему не хочет нромально стартануть, ведь после запуска че то ам мутит с БД все.
xena-mil1 не плохо. +2 я слышал про ISP, но не использовал. вообше для начало что лучше испольовать? просто щас толком с IDS не разобрался. без графического интерфейса трудно. качаю видео-курс по линукс-безопасностю, там вроде есть тема про Snort. Если есть время - немного подробно напиши о настройке IPS.
ну почему сразу так? Может я хочу стать как раз и этим специалистом ? вы про это имели ввиду? Не думал, что 3COM происзодит такие серьезне девайсы. Cisco отдыхает, что ли?
Извиняюсь за выражение, сравнил х** с палкой, просто эти компании позиционируют свое оборудывание на разные сегменты рынка.
