ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Спасибо.
+1.
Так это как аддон к снорту или отдельная тулза ? напишите немного подробно кк он работает и чем отличия от аналогов..

Это чушь. Недофаервол.

Portsentry - система обнаружения сканирования портов. Отдельное ПО под nix, не имеет ни какого отношения к снорту. Так то оно не очень мне понравилось, потому что лочит только если сканить сканерами LanScope или XSpider, а если сканить nmap, то ента тулза не детектит.

Херня тогда. щас LanScope и XSpider сканят школьники и начинающие хакиры )) так что, как сказал spider-intruder, это чушь !

Давайте поговорим пока о снорт. Вот, например, скажем, снорт только на шлюз ставят или можно внутри локалки тоже ставить, на отдельных рядовых серверах ? (БД, почта,веб и т.п.).

расскажите каком сегменте и на каком патформе у вас стоит? какие инстрменты для управление (особо интересует графический интерфейс, т.к. до сих пор не осилил этот момент).

согласен, я так просто для разнообразия предложил.

да хоть себе на рабочую станцию ставь.

стоит как виндовых серверных платформах та и на никсовых.

Basic Analysis and Security Engine (BASE) _http://base.secureideas.net/screens.php
удобный графический веб интерфейс. Инсталляция и настройка все тамже _http://www.lissyara.su/articles/freebsd/security/snort/

есть кстати еще одна приблуда к снорту: Snortsam - плагин для snort, обеспечивающий блокировку атак.

Стоит в локалке. Подключена 3мя сетевухами в ключевые узлы сети. Отчеты пока в тексте. grep рулит :-) Хотя планирую все же морды прикрутить но так лениво.

А, теперь понял.

Snort работает как антивирус/файрволл, т.е. в режиме службы и он стартует и работает про перезагрузке, или запускается как обычная программа?

Примерно так. Это система обнаружения вторжений. Она стартует службой (демоном), мониторит сетефой трафик и используя постоянно обновляемый набор сигнатур пытается найти в сетевом трафике известные атаки, или вирусную активность.

для лучшей эффективности нужно размещать snort во всей иерархии сети
т.е. примерно вот так это буит выглядеть (зонд-комп + snort)



Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонд 2 анализирует серверный трафик. Здесь входящий трафик отфильтрован межсетевым экраном. При корректно настроенном брандмауэре это более безопасная зона сети. Из-за уменьшения величины трафика число ложных срабатываний сокращается. Зонд 2 должен быть настроен с учетом специфики серверов.

Зонд 3 анализирует трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим, и потому следует уделять большее внимание сообщениям зонда 3.