|
IDS системы
Как не странно, но в форуме нету темы про IDS. (ибо по поиске не нашел)
Кто не в теме: Цитата:
А также интересует Honeypot системы. Какой IDS можете посоветовать, у которого есть понятный GUI, а то поставил SNORT и очень трудно понять что к чему, т.к. первый раз и сразу под консолем надо настроить. Хотел бы сначало почувствовать как работает, а потом уже консолями возится. Платформа желательно WIN32. Можно и под *NIX, если есть нормальный GUI. |
Поддерживаю! Очень правильная тема! Предлагаю собрать все что у нас есть под все оси. Маны Хелпы. Может у кого то есть ФРИ доступ к платным обновлениям СНОРТА. Было б не плохо :-)
Под снорт есть ГУИ. Гуи настроек. Отчет все равно ляжет в текстовый файл или в БД mysql а потом уже с бд можно юзать сторонние проги, благо их куча. Гугл в помошь. Юзаю ACID |
Цитата:
в данный момент, поставил snort, исчю хорошие маны. Кто что найдет ценное, постите.Я думаю многим эта темка есчо пригодится. P.S. тс молоток |
Спасибо за поддержку, ребята))
насчет снорта - есть рускоязычный неофициальный сайт: _http://www.snortgroup.ru/ там и доки, и видео (видео в основном на английском) Тоже хотел бы найти бесплатно (варез) Rules для снорта :) хочу поэксперементировать. А что скажете о других систем? например KFSensor.. |
кому интересно, по поводу рулесов для снорта, то их мона взять на диске BackTrack
|
cyber$nake
а где именно? я скачал B|T4 RC, в каком разделе искать его? кстати, на BT если подымать Snort, то он уже готов к работе? |
Цитата:
snort 2.8.5.1 для nix _http://slil.ru/28306271 rules от 3.11.09 _http://slil.ru/28306232 |
SNORT
Цитата:
чегота в B|T4 его я не нашел Цитата:
|
cyber$nake
да нашел то, но че-то не хочет стартануть. не ошибок выдает и не стартует. А видео смотрел как стартует, но у меня не присходит ничего, после того, как введи пароль для Mysql , и все. Хотя мжет страртует, просто я не догоняю.. как можно это проверить ? |
ну посмотри в процессах.
|
- FAQ по снорту *nix_http://www.opennet.ru/base/faq/snort_faq_ru.txt.html
отличный ман по устанвке, сам по нему поднимал _http://www.lissyara.su/articles/freebsd/security/snort/ - вот еще одна рульная тулза: PortSentry - средство противодействия сканированию портов, ман по установке и настройке: _http://www.lissyara.su/articles/freebsd/security/portsentry/ |
Спасибо.
+1. Цитата:
|
Это чушь. Недофаервол.
|
Цитата:
|
Цитата:
Давайте поговорим пока о снорт. Вот, например, скажем, снорт только на шлюз ставят или можно внутри локалки тоже ставить, на отдельных рядовых серверах ? (БД, почта,веб и т.п.). расскажите каком сегменте и на каком патформе у вас стоит? какие инстрменты для управление (особо интересует графический интерфейс, т.к. до сих пор не осилил этот момент). |
Цитата:
Цитата:
Цитата:
Цитата:
удобный графический веб интерфейс. Инсталляция и настройка все тамже _http://www.lissyara.su/articles/freebsd/security/snort/ есть кстати еще одна приблуда к снорту: Snortsam - плагин для snort, обеспечивающий блокировку атак. |
Стоит в локалке. Подключена 3мя сетевухами в ключевые узлы сети. Отчеты пока в тексте. grep рулит :-) Хотя планирую все же морды прикрутить но так лениво.
|
А, теперь понял.
Snort работает как антивирус/файрволл, т.е. в режиме службы и он стартует и работает про перезагрузке, или запускается как обычная программа? |
Примерно так. Это система обнаружения вторжений. Она стартует службой (демоном), мониторит сетефой трафик и используя постоянно обновляемый набор сигнатур пытается найти в сетевом трафике известные атаки, или вирусную активность.
|
для лучшей эффективности нужно размещать snort во всей иерархии сети
т.е. примерно вот так это буит выглядеть (зонд-комп + snort) http://i070.radikal.ru/0912/75/3da9738a730a.gif Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур. Зонд 2 анализирует серверный трафик. Здесь входящий трафик отфильтрован межсетевым экраном. При корректно настроенном брандмауэре это более безопасная зона сети. Из-за уменьшения величины трафика число ложных срабатываний сокращается. Зонд 2 должен быть настроен с учетом специфики серверов. Зонд 3 анализирует трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим, и потому следует уделять большее внимание сообщениям зонда 3. |
navigat0r
Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю.. Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это. ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов). Если я не прав, то рад буду узнать правду ! |
Цитата:
|
Цитата:
Ну тогда зачем делать ARP спуфинг, вот поставили бы Снорт и без никаких проблем смотрели сетевая активность удаленного узла.. |
B1t.exe, изначально тебя неправильно понял, а может и ты меня
зонд должен быть подключен к каждому серверу, но нет нужды для каждого сервера ставить отдельный зонд.Все зависит от спецификации серверов. |
не, друг. все таки IDS надо ставить на каждый сервер.
Как ты говоришь - это похож на cloud(облочного) технологий. который , на сколько я знаю, snort не умеет. |
коллеги, кто пользуется Snort_ом под Windows ?
установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде? Ибо после боя кулаками не надо махать.. |
Цитата:
офф сайт _http://snorby.org/ |
navigat0r
спасибо мен. ! вот только не понимаю что так к чему .. это точно под винду ? че то не понятно как так насраивается.. знаком тебе анализатор от KIWI ? нормальная штука ? в официальном мане про это написано, но не ставил как-то.. |
apach(к примеру) поднять нада, на него льешь snorby. а потом по wiki, snorby настраиваешь(русских манов не нашел), на офф сайте wiki под него есть(только на англ). Ща не дома, поэтому точно сказать не могу, что да как.(на работе). не, KIWI не знаком
P.S. Комент к репе приятный ) |
вот есчо интересная вещь для настройки snort`a _http://www.snortgroup.ru/node/74
Snort Webmin Interface руководство по настройке snort для nix здесь |
Snort Webmin Interface - ха. webmin мне вседа прикалывал в линуксах ) не раз спас меня ))))) но жаль под винду нет такого хери.
знаешь, в каком то видекурсе видел какой то веб-интерфейс. на сколько понял - это ходит в стандартный набор снорта.. хотя я не смог найти такое. тоже буду дома, напишу что за интерфейс.. (хотя не помню под винды или под никс делали) |
Короче нашел, но оказтвается он под linux. Вот даже скрин снял:
http://s60.radikal.ru/i169/0912/e6/ef396c371637.jpg У тебя тоже такая морда ? вот он ставился вместе с снортом вроде.. вот скрин именно с этого места: http://i047.radikal.ru/0912/37/ee7bf49afb82.jpg Под Windows XP хочу такое замутить )) |
B1t.exe, сам не разбирался, пока некогда, сессия, работа )) да и linux стоит, время появится поставлю snort и на винду и там покавыряюсь
Расширения, модули и плагины для Snort _http://snortgroup.ru/node/23 хз, но может эт те поможет |
))) тоже самое и у меня.. + к этому лабуды еще и дипломную надо делать !
но как говорится - уныватся не надо ))) |
нашел морду?Ставь линукс ;) Выход из положения + удобство и безопасность :)
|
navigat0r
нее ) немного ипался, но ничего толком не получился. у меня на ноуте еще и есть BT4 (снорт там есть Snort),просто как то не понимаю почему не хочет нромально стартануть, ведь после запуска че то ам мутит с БД все. |
я работал с несколькими ИДС и ИПС
графического иентерфейса в бесплатных продуктах ИДС маловероятно что найдеш IDS - Intrusion Detection System IPS - Intrusion Prevention System - сиситема предупрежения вторжений- оны лутше чем идс тем, что если видит атаку то разрывает связь и блокирует атакующий хост все ети системы достаточно глючные. имели много проблем с ними ИДС можно подключать к свитчу на зеркалируему интерфейсу (можна настроить свитч весь трафик сливал со всех интерфейсов на один, таким образом идс на одном сервере будет обслужывать всю сетку, будет видно все перекрестные связи между серверами) ИПС желательно ставить в разрыв сети, чтобы он мог отрубать при атаке. по моему мнению все ИДС и ИПС часто показывают ложные срабатывания, и кроме етого ИПС при етом могут стать причиной серезных сбоев, которые влияют на финансовую стабильность компании, и кроме етого для специалистов может быть не очевидно что именно ипс причина. Не все так радужно как теоретически должно быть. Но тем не менее иногда они ловят реальные атаки, и помогают защитить сервера. Для етого их нужно настраивать под каждую сеть индивидуально. на данный момент Tipping Point IPS я считаю оптимальной для защиты сети. |
xena-mil1
не плохо. +2 я слышал про ISP, но не использовал. вообше для начало что лучше испольовать? просто щас толком с IDS не разобрался. без графического интерфейса трудно. качаю видео-курс по линукс-безопасностю, там вроде есть тема про Snort. Если есть время - немного подробно напиши о настройке IPS. |
да что там писать
во первых Типпинг - платный , и ето хард (типа киски) а не софт я не думаю что ты готов инвестировать 10-12 К $ чтобы поиграться с ним а если получиться поиграться то там уже пришлют специалиста с компании которая вам продала его |
ну почему сразу так?
Может я хочу стать как раз и этим специалистом ? :D вы про это имели ввиду? Не думал, что 3COM происзодит такие серьезне девайсы. Cisco отдыхает, что ли? |
| Время: 13:48 |