Как не странно, но в форуме нету темы про IDS. (ибо по поиске не нашел)
Кто не в теме: IDS - Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Заметил, что в России мало его используют. Интересно узнать кто из вам использует т.п. системы?
А также интересует Honeypot системы.

Какой IDS можете посоветовать, у которого есть понятный GUI, а то поставил SNORT и очень трудно понять что к чему, т.к. первый раз и сразу под консолем надо настроить. Хотел бы сначало почувствовать как работает, а потом уже консолями возится.
Платформа желательно WIN32. Можно и под *NIX, если есть нормальный GUI.

Поддерживаю! Очень правильная тема! Предлагаю собрать все что у нас есть под все оси. Маны Хелпы. Может у кого то есть ФРИ доступ к платным обновлениям СНОРТА. Было б не плохо :-)

Под снорт есть ГУИ. Гуи настроек. Отчет все равно ляжет в текстовый файл или в БД mysql а потом уже с бд можно юзать сторонние проги, благо их куча. Гугл в помошь. Юзаю ACID

Поддерживаю! Очень правильная тема! Предлагаю собрать все что у нас есть под все оси. Маны Хелпы. Может у кого то есть ФРИ доступ к платным обновлениям СНОРТА. Было б не плохо :-)

Под снорт есть ГУИ. Гуи настроек. Отчет все равно ляжет в текстовый файл или в БД mysql а потом уже с бд можно юзать сторонние проги, благо их куча. Гугл в помошь. Юзаю ACID

+1
в данный момент, поставил snort, исчю хорошие маны.
Кто что найдет ценное, постите.Я думаю многим эта темка есчо пригодится.
P.S. тс молоток

Спасибо за поддержку, ребята))
насчет снорта - есть рускоязычный неофициальный сайт: _http://www.snortgroup.ru/
там и доки, и видео (видео в основном на английском)
Тоже хотел бы найти бесплатно (варез) Rules для снорта :) хочу поэксперементировать.

А что скажете о других систем?
например KFSensor..

кому интересно, по поводу рулесов для снорта, то их мона взять на диске BackTrack

cyber$nake
а где именно? я скачал B|T4 RC, в каком разделе искать его?
кстати, на BT если подымать Snort, то он уже готов к работе?

Спасибо за поддержку, ребята))
насчет снорта - есть рускоязычный неофициальный сайт: _http://www.snortgroup.ru/
там и доки, и видео (видео в основном на английском)
Тоже хотел бы найти бесплатно (варез) Rules для снорта :) хочу поэксперементировать.

А что скажете о других систем?
например KFSensor..

snort 2.8.5.1 для windows _http://slil.ru/28306258 + нужны библиотеки _http://depositfiles.com/ru/files/m8v6ftr9e
snort 2.8.5.1 для nix _http://slil.ru/28306271
rules от 3.11.09 _http://slil.ru/28306232

а где именно? я скачал B|T4 RC, в каком разделе искать его?
BT3, путь где лежат рулесы:/etc/snort/rules
чегота в B|T4 его я не нашел
кстати, на BT если подымать Snort, то он уже готов к работе?
готов, services->snort->setup &..... (енто запуск)

cyber$nake
да нашел то, но че-то не хочет стартануть. не ошибок выдает и не стартует. А видео смотрел как стартует, но у меня не присходит ничего, после того, как введи пароль для Mysql , и все. Хотя мжет страртует, просто я не догоняю.. как можно это проверить ?

ну посмотри в процессах.

- FAQ по снорту *nix_http://www.opennet.ru/base/faq/snort_faq_ru.txt.html
отличный ман по устанвке, сам по нему поднимал _http://www.lissyara.su/articles/freebsd/security/snort/

- вот еще одна рульная тулза: PortSentry - средство противодействия сканированию портов, ман по установке и настройке: _http://www.lissyara.su/articles/freebsd/security/portsentry/

Спасибо.
+1.
- вот еще одна рульная тулза: PortSentry - средство противодействия сканированию портов, ман по установке и настройке: _http://www.lissyara.su/articles/freebsd/security/portsentry/
Так это как аддон к снорту или отдельная тулза ? напишите немного подробно кк он работает и чем отличия от аналогов..

Это чушь. Недофаервол.

Так это как аддон к снорту или отдельная тулза ?
Portsentry - система обнаружения сканирования портов. Отдельное ПО под nix, не имеет ни какого отношения к снорту. Так то оно не очень мне понравилось, потому что лочит только если сканить сканерами LanScope или XSpider, а если сканить nmap, то ента тулза не детектит.

Portsentry - система обнаружения сканирования портов. Отдельное ПО под nix, не имеет ни какого отношения к снорту. Так то оно не очень мне понравилось, потому что лочит только если сканить сканерами LanScope или XSpider, а если сканить nmap, то ента тулза не детектит.

Херня тогда. щас LanScope и XSpider сканят школьники и начинающие хакиры )) так что, как сказал spider-intruder, это чушь !

Давайте поговорим пока о снорт. Вот, например, скажем, снорт только на шлюз ставят или можно внутри локалки тоже ставить, на отдельных рядовых серверах ? (БД, почта,веб и т.п.).

расскажите каком сегменте и на каком патформе у вас стоит? какие инстрменты для управление (особо интересует графический интерфейс, т.к. до сих пор не осилил этот момент).

Херня тогда. щас LanScope и XSpider сканят школьники и начинающие хакиры )) так что, как сказал spider-intruder, это чушь !
согласен, я так просто для разнообразия предложил.

Давайте поговорим пока о снорт. Вот, например, скажем, снорт только на шлюз ставят или можно внутри локалки тоже ставить, на отдельных рядовых серверах ? (БД, почта,веб и т.п.).
да хоть себе на рабочую станцию ставь.

расскажите каком сегменте и на каком патформе у вас стоит?
стоит как виндовых серверных платформах та и на никсовых.

какие инстрменты для управление (особо интересует графический интерфейс, т.к. до сих пор не осилил этот момент).
Basic Analysis and Security Engine (BASE) _http://base.secureideas.net/screens.php
удобный графический веб интерфейс. Инсталляция и настройка все тамже _http://www.lissyara.su/articles/freebsd/security/snort/

есть кстати еще одна приблуда к снорту: Snortsam - плагин для snort, обеспечивающий блокировку атак.

Стоит в локалке. Подключена 3мя сетевухами в ключевые узлы сети. Отчеты пока в тексте. grep рулит :-) Хотя планирую все же морды прикрутить но так лениво.

А, теперь понял.

Snort работает как антивирус/файрволл, т.е. в режиме службы и он стартует и работает про перезагрузке, или запускается как обычная программа?

Примерно так. Это система обнаружения вторжений. Она стартует службой (демоном), мониторит сетефой трафик и используя постоянно обновляемый набор сигнатур пытается найти в сетевом трафике известные атаки, или вирусную активность.

для лучшей эффективности нужно размещать snort во всей иерархии сети
т.е. примерно вот так это буит выглядеть (зонд-комп + snort)

http://i070.radikal.ru/0912/75/3da9738a730a.gif

Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонд 2 анализирует серверный трафик. Здесь входящий трафик отфильтрован межсетевым экраном. При корректно настроенном брандмауэре это более безопасная зона сети. Из-за уменьшения величины трафика число ложных срабатываний сокращается. Зонд 2 должен быть настроен с учетом специфики серверов.

Зонд 3 анализирует трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим, и потому следует уделять большее внимание сообщениям зонда 3.

navigat0r

Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю..
Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это.
ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов).

Если я не прав, то рад буду узнать правду !

navigat0r

Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю..
Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это.
ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов).

Если я не прав, то рад буду узнать правду !
зачем на каждый?! в конфиге прописал диапазон ip(наших серверов) в переменной $HOME_NET и он будет логировать и предупреждать об атаках на данные ip

зачем на каждый?! в конфиге прописал диапазон ip(наших серверов) в переменной $HOME_NET и он будет логировать и предупреждать об атаках на данные ip

хмм. как то не понимаю что за такой механзм! как он удаленно следит что творится на удаленном шлюзе?
Ну тогда зачем делать ARP спуфинг, вот поставили бы Снорт и без никаких проблем смотрели сетевая активность удаленного узла..

B1t.exe, изначально тебя неправильно понял, а может и ты меня
зонд должен быть подключен к каждому серверу, но нет нужды для каждого сервера ставить отдельный зонд.Все зависит от спецификации серверов.

не, друг. все таки IDS надо ставить на каждый сервер.
Как ты говоришь - это похож на cloud(облочного) технологий. который , на сколько я знаю, snort не умеет.

коллеги, кто пользуется Snort_ом под Windows ?
установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде?
Ибо после боя кулаками не надо махать..

коллеги, кто пользуется Snort_ом под Windows ?
установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде?
Ибо после боя кулаками не надо махать..
постьвь морду. Snorby, читал, что не плохая. _http://github.com/mephux/Snorby
офф сайт _http://snorby.org/

navigat0r

спасибо мен. ! вот только не понимаю что так к чему .. это точно под винду ? че то не понятно как так насраивается..

знаком тебе анализатор от KIWI ? нормальная штука ? в официальном мане про это написано, но не ставил как-то..

apach(к примеру) поднять нада, на него льешь snorby. а потом по wiki, snorby настраиваешь(русских манов не нашел), на офф сайте wiki под него есть(только на англ). Ща не дома, поэтому точно сказать не могу, что да как.(на работе). не, KIWI не знаком
P.S. Комент к репе приятный )

вот есчо интересная вещь для настройки snort`a _http://www.snortgroup.ru/node/74
Snort Webmin Interface
руководство по настройке snort для nix здесь (http://gd4.tuwien.ac.at/infosys/security/OBSOLATE-WILL-BE-DELETED/snort/docs/setup_guides/intl/russian/snort_base_suse92-ru.pdf)

Snort Webmin Interface - ха. webmin мне вседа прикалывал в линуксах ) не раз спас меня ))))) но жаль под винду нет такого хери.
знаешь, в каком то видекурсе видел какой то веб-интерфейс. на сколько понял - это ходит в стандартный набор снорта.. хотя я не смог найти такое.
тоже буду дома, напишу что за интерфейс.. (хотя не помню под винды или под никс делали)

Короче нашел, но оказтвается он под linux. Вот даже скрин снял:
http://s60.radikal.ru/i169/0912/e6/ef396c371637.jpg

У тебя тоже такая морда ? вот он ставился вместе с снортом вроде..
вот скрин именно с этого места:
http://i047.radikal.ru/0912/37/ee7bf49afb82.jpg

Под Windows XP хочу такое замутить ))

B1t.exe, сам не разбирался, пока некогда, сессия, работа )) да и linux стоит, время появится поставлю snort и на винду и там покавыряюсь
Расширения, модули и плагины для Snort _http://snortgroup.ru/node/23 хз, но может эт те поможет

))) тоже самое и у меня.. + к этому лабуды еще и дипломную надо делать !

но как говорится - уныватся не надо )))

нашел морду?Ставь линукс ;) Выход из положения + удобство и безопасность :)

navigat0r
нее ) немного ипался, но ничего толком не получился.
у меня на ноуте еще и есть BT4 (снорт там есть Snort),просто как то не понимаю почему не хочет нромально стартануть, ведь после запуска че то ам мутит с БД все.

я работал с несколькими ИДС и ИПС
графического иентерфейса в бесплатных продуктах ИДС маловероятно что найдеш
IDS - Intrusion Detection System
IPS - Intrusion Prevention System - сиситема предупрежения вторжений- оны лутше чем идс тем, что если видит атаку то разрывает связь и блокирует атакующий хост
все ети системы достаточно глючные. имели много проблем с ними

ИДС можно подключать к свитчу на зеркалируему интерфейсу (можна настроить свитч весь трафик сливал со всех интерфейсов на один, таким образом идс на одном сервере будет обслужывать всю сетку, будет видно все перекрестные связи между серверами)

ИПС желательно ставить в разрыв сети, чтобы он мог отрубать при атаке.

по моему мнению все ИДС и ИПС часто показывают ложные срабатывания, и кроме етого ИПС при етом могут стать причиной серезных сбоев, которые влияют на финансовую стабильность компании, и кроме етого для специалистов может быть не очевидно что именно ипс причина. Не все так радужно как теоретически должно быть.

Но тем не менее иногда они ловят реальные атаки, и помогают защитить сервера. Для етого их нужно настраивать под каждую сеть индивидуально.


на данный момент Tipping Point IPS я считаю оптимальной для защиты сети.

xena-mil1
не плохо. +2

я слышал про ISP, но не использовал.
вообше для начало что лучше испольовать? просто щас толком с IDS не разобрался. без графического интерфейса трудно. качаю видео-курс по линукс-безопасностю, там вроде есть тема про Snort.
Если есть время - немного подробно напиши о настройке IPS.

да что там писать
во первых Типпинг - платный , и ето хард (типа киски) а не софт
я не думаю что ты готов инвестировать 10-12 К $ чтобы поиграться с ним
а если получиться поиграться то там уже пришлют специалиста с компании которая вам продала его

ну почему сразу так?
Может я хочу стать как раз и этим специалистом ? :D
вы про это (http://www.thg.ru/network/3com_tipping_point_100e/3com_tipping_point_100e-01.html) имели ввиду?
Не думал, что 3COM происзодит такие серьезне девайсы. Cisco отдыхает, что ли?

Не думал, что 3COM происзодит такие серьезне девайсы. Cisco отдыхает, что ли?
Извиняюсь за выражение, сравнил х** с палкой, просто эти компании позиционируют свое оборудывание на разные сегменты рынка.

ну почему сразу так?
Может я хочу стать как раз и этим специалистом ? :D
вы про это (http://www.thg.ru/network/3com_tipping_point_100e/3com_tipping_point_100e-01.html) имели ввиду?
Не думал, что 3COM происзодит такие серьезне девайсы. Cisco отдыхает, что ли?

а почему ты думаеш что если компания Циско продает дорогие решения для построения сетей, то и в безопасности она тоже будет лидером?
в Реальности я думаю что наилутшый на даный момент фаерволы делает СheckPoint, ИПС -Типпинг, а Киска людер в сетевом оборудовании.


если хочеш стать специалистом, то пробуй все что можеш бесплатно, потом постарайся примазаться к администрированию платных решений, может полуить сертификат. и постоянно прокачивай резюме и ищи компанию робота в которой тебя удовлетворит.

Рулесов свжих не подкинете?!

http://slil.ru/28406935 от 25.11.09

Запуск Snort в винде как службы:
1) определяем номер сетевого интерфейса
c:\snort\bin\snort.exe -W
пусть будет № интерфейса 3

2) проверяем работоспособность снорта
c:\snort\bin\snort.exe -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii -i3

если все нормально запустилось, без ошибок, тогда переходим к п.3, если нет то правим конфиг снорта

3) запускаем cmd.exe, переходим в корень диска С:\

4) создаем службу для автоматического запуска при загрузке винды
Snort\bin\snort.exe /SERVICE /INSTALL -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii -i3

удаление из службы процессов
Snort\bin\snort.exe /SERVICE /UNINSTALL -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii -i3

5) заходим в службы, находим службу snort, ставим тип запуска=авто, запускаем. ЖДЕМ МИН 5.

если пункт 2 успешно прошел, пробуем пингуем етот хост на котором подняли снорт, далее идем в c:\Snort\log, если в логах есть зиписи хоста который пинговал, значит все ОК!