Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
10.12.2009, 22:58
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
navigat0r
Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю..
Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это.
ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов).
Если я не прав, то рад буду узнать правду !
|
|
|
10.12.2009, 23:45
|
|
Участник форума
Регистрация: 15.03.2009
Сообщений: 231
Провел на форуме:
859739
Репутация:
146
|
|
Сообщение от B1t.exe
navigat0r
Это все хорошо. Но или эффективности очень мало или я не парвильно понимаю..
Смотрите, допустим на 2_м иерархии 100 рабочих станции и 3 серверов и одна тачка с Snort_oм. Вася запускает nmap и сканирует сеть. ОП, snort схавал ! тревага, Вася наказан/уволен. Ну Вася может быть хитрый и узнать заранее IP адрес сервера(ов) и свои действие все направляет именно определнный сервер. И снорт просто не увидет это.
ПО моему Снорт надо ставить на КАЖДЫЙ сервер (критичных узлов).
Если я не прав, то рад буду узнать правду !
зачем на каждый?! в конфиге прописал диапазон ip(наших серверов) в переменной $HOME_NET и он будет логировать и предупреждать об атаках на данные ip
Последний раз редактировалось navigat0r; 10.12.2009 в 23:48..
|
|
|
|
10.12.2009, 23:58
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
Сообщение от navigat0r
зачем на каждый?! в конфиге прописал диапазон ip(наших серверов) в переменной $HOME_NET и он будет логировать и предупреждать об атаках на данные ip
хмм. как то не понимаю что за такой механзм! как он удаленно следит что творится на удаленном шлюзе?
Ну тогда зачем делать ARP спуфинг, вот поставили бы Снорт и без никаких проблем смотрели сетевая активность удаленного узла..
|
|
|
|
12.12.2009, 01:15
|
|
Участник форума
Регистрация: 15.03.2009
Сообщений: 231
Провел на форуме:
859739
Репутация:
146
|
|
B1t.exe, изначально тебя неправильно понял, а может и ты меня
зонд должен быть подключен к каждому серверу, но нет нужды для каждого сервера ставить отдельный зонд.Все зависит от спецификации серверов.
|
|
|
|
12.12.2009, 13:17
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
не, друг. все таки IDS надо ставить на каждый сервер.
Как ты говоришь - это похож на cloud(облочного) технологий. который , на сколько я знаю, snort не умеет.
|
|
|
|
14.12.2009, 13:44
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
коллеги, кто пользуется Snort_ом под Windows ?
установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде?
Ибо после боя кулаками не надо махать..
|
|
|
|
15.12.2009, 11:55
|
|
Участник форума
Регистрация: 15.03.2009
Сообщений: 231
Провел на форуме:
859739
Репутация:
146
|
|
Сообщение от B1t.exe
коллеги, кто пользуется Snort_ом под Windows ?
установил по ману из сайте, но как то непонятки пошли.. как мониторить это дело и варинат делать так, чтоб если атака, то он сразу предупреждать а не все внести в лог и потом искать сигнатуры в этом лабуде?
Ибо после боя кулаками не надо махать..
постьвь морду. Snorby, читал, что не плохая. _http://github.com/mephux/Snorby
офф сайт _http://snorby.org/
Последний раз редактировалось navigat0r; 15.12.2009 в 12:02..
|
|
|
|
15.12.2009, 14:02
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
navigat0r
спасибо мен. ! вот только не понимаю что так к чему .. это точно под винду ? че то не понятно как так насраивается..
знаком тебе анализатор от KIWI ? нормальная штука ? в официальном мане про это написано, но не ставил как-то..
|
|
|
|
15.12.2009, 14:19
|
|
Участник форума
Регистрация: 15.03.2009
Сообщений: 231
Провел на форуме:
859739
Репутация:
146
|
|
apach(к примеру) поднять нада, на него льешь snorby. а потом по wiki, snorby настраиваешь(русских манов не нашел), на офф сайте wiki под него есть(только на англ). Ща не дома, поэтому точно сказать не могу, что да как.(на работе). не, KIWI не знаком
P.S. Комент к репе приятный )
Последний раз редактировалось navigat0r; 15.12.2009 в 14:21..
|
|
|
|
15.12.2009, 14:25
|
|
Участник форума
Регистрация: 15.03.2009
Сообщений: 231
Провел на форуме:
859739
Репутация:
146
|
|
вот есчо интересная вещь для настройки snort`a _http://www.snortgroup.ru/node/74
Snort Webmin Interface
руководство по настройке snort для nix здесь
Последний раз редактировалось navigat0r; 15.12.2009 в 14:32..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
