Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Piszę pracę inżynierską na temat: "Budowa bezpiecznej sieci lokalnej w oparciu o rozwiązania Open Source". Praca polega na zbudowaniu małej sieci lokalnej i przetestowaniu jej zabezpieczeń przed wszelkim złośliwym oprogramowaniem i atakami sieciowymi. I tutaj zapytanie do was: jakie oprogramowanie Open Source polecacie?
W chwili obecnej znalazłem coś takiego:
- ClamAV jako antywirus np. na serwerze poczty
- Snort jako IDS
- Suricata jako IPS
- OSSEC jako IDS na hoście
- nmap do przeprowadzania audytu strony
- iptables jako firewall
Offline
- Snort jako IDS
- Suricata jako IPS[/quote]
To są dwa konkurencyjne programy, które robią to samo.
Snort sam potrafi pracować jako IPS, trzeba go tylko sprząc ze skryptem Guardian, lub ze Snortsamem. (Snortsam to osobny demon, do komunikacji na linni Snort => Snortsam potrzebna jest łatka na Snorta, która u mnie (w Snorcie 2.8.6.* likwidowała zdolność Snorta do zapisynania logów w Mysql)).
Guardian natomiast, to prosty demon napisany w perlu, parsujący logi Snorta.
Sznurki:
http://www.chaotic.org/guardian/
http://www.snortsam.net/
http://forum.dug.net.pl/viewtopic.php?pid=173187#p173187
Jakbyś przy okazji wyczaił, jak wzmusić Guardiania, żeby czytał z gniazda /dev/snort
stworzonego poleceniem [b]mkfifo[/b], to daj znać :D
Bo mnie się nie udało,a w pracy inżynierskiej takie drobiazgi się przydają.
Dlaczego kolejka fifio? - jest na oko X razy szybsza, niż parsowanie sysloga,
natomiast Snort od jakiegoś czasu zapisuje logi tylko w formacie binarnym, których Guardian nie czyta.
(Zauważyłem to u mnie, od wersji 2.8.6.*)
Dlatego planuję wykorzystać trasę Snort=>Rsyslog=>|/dev/snort=>Guardian.
Ciekawym pomyłśem byłoby uzupełnienie twojej pracy o honeyd.
http://www.honeyd.org/faq.php
http://en.wikipedia.org/wiki/Honeyd
Ten potrafi wykryć podejrzane zachowanie np robaków sieciowych i automatyczne skanowania portów z 100 razy skuteczniej, niż Snort.
Pozdrawiam
;-)Ostatnio edytowany przez Jacekalex (2011-11-28 10:46:09)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
A jakie książki byś polecił?
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00075 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.205.223' WHERE u.id=1 |
0.00157 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.205.223', 1715495545) |
0.00041 | SELECT * FROM punbb_online WHERE logged<1715495245 |
0.00080 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20138 AND t.moved_to IS NULL |
0.00040 | SELECT search_for, replace_with FROM punbb_censoring |
0.00142 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20138 ORDER BY p.id LIMIT 0,25 |
0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20138 |
Total query time: 0.00644 s |