Что касается IDS, я планирую запустить на шлюзе сервер Win 2008 с отключенным большинством ролей. Я планирую использовать брандмауэр для подключения к Интернету, но также хочу установить Snort для работы в качестве IDS. Однако я предполагаю, что независимо от установки Snort беспорядочного драйвера Winpcap я не смогу контролировать порты, которые блокирует брандмауэр. Я думаю, что цепочка потока:
Интернет-> Брандмауэр в Win 2008-> Winpcap-> Snort-> внутренняя сеть
Есть ли способ по-прежнему отслеживать службы, которые блокирует брандмауэр (например, TCP 445 SMB)? Возможно, прогнать данные через Snort, а затем через брандмауэр?
Спасибо
Я считаю, что ваш выбор Server 2008 довольно странен для межсетевого экрана. Почему бы не использовать что-то более подходящее и более экономичное? Существует ряд дистрибутивов брандмауэра на основе Linux, как операционных, так и коммерческих. Мое личное предпочтение для Гладкостенный, который включает Snort и многое другое. Если вы добавите надстройку Guardian, она также будет реагировать на предупреждения Snort, что делает его намного более эффективным, чем просто набор статических правил.
Вы можете контролировать любые порты, которые вам нравятся, независимо от того, заблокированы они или нет. Конечно, вы можете не видеть никакого трафика на заблокированном порту, но вы все равно можете его отслеживать.
Обычно вы держите IDS внутри брандмауэра, чтобы не допустить обычного «шума» Интернета в журналах IDS. Нет необходимости иметь тревогу для обычного сканирования портов, которое блокирует каждый брандмауэр. То, что вы хотите видеть с помощью IDS (и / или блокировать с помощью IPS), - это все те забавные вещи, которые проходит ваш брандмауэр.
{ Internet }---[ WAN Router ]---[ IDS/IPS ]---[ Firewall ]---{ internal network }
Однако я вижу здесь некоторые недостатки использования Windows. Я прав, что вы хотите использовать лицензию 2k8 только для фильтрации и перенаправления трафика? Звучит дорого. И несколько небезопасно. Существуют предварительно упакованные дистрибутивы Linux / BSD с красивым веб-графическим интерфейсом, если у вас нет опыта работы с Unix.
Посмотри на pfSense, это действительно хороший брандмауэр. А вот статья, в которой описывается Интеграция Snort. Вы можете протестировать это, например, с помощью VMWare.
HTH,
PEra
Есть ли способ по-прежнему отслеживать службы, которые блокирует брандмауэр (например, TCP 445 SMB)?
Зависит от выбранного вами брандмауэра - я предполагаю, что вы собираетесь использовать «настоящий» механизм брандмауэра, а не только очень ограниченные встроенные функции Windows? Все брандмауэры, которые я видел, с радостью регистрируют все попытки подключения, но, как пишет PEra, очень немногие люди делают это, поскольку журналы становятся огромными очень быстро.
У Kerio есть хороший межсетевой экран для малого бизнеса с хорошей встроенной отчетностью. Я действительно не знаю каких-либо других «брандмауэров для установки поверх Windows», которые остались бы сейчас - много лет назад это была обычная модель, но сегодня брандмауэр перешел на устройства, и, похоже, он переходит на маршрутизатор следующим .