Есть несколько отличных дистрибутивов в стиле «приспособлений», таких как pfSense и M0n0wall, которые объединяют мощные функции соответствующих операционных систем с красивым веб-приложением для настройки. На мой взгляд, эти дистрибутивы охватывают большинство вариантов использования и компенсируют то, чем они торгуют, гибкостью и простотой использования.
Есть ли похожий тип распределения для Snort? Я думаю о чем-то с датчиком Snort, MySQL (или аналогичным сервером базы данных), BASE и Pulled Pork, настроенными с некоторыми разумными (хотя, вероятно, не очень полезный defaults) и прекрасную утилиту веб-конфигурации для добавления правил, просмотра предупреждений и т. д. В основном делает то, что PfSense делает для OpenBSD / pf, но только для Snort.
Кто-нибудь сталкивался с чем-то подобным? Как вы думаете, стоит ли создавать проект, если его еще нет?
Проверять, выписываться Snorby. Загрузка "Insta-Snorby" - это красиво упакованное устройство.
Вам следует попробовать дистрибутив Linux с открытым исходным кодом - Security Onion. В настоящее время он основан на xubuntu, но это, скорее всего, скоро изменится.
Блог здесь - http://securityonion.blogspot.com/
и вики по установке здесь - http://code.google.com/p/security-onion/wiki/Installation.
Он поставляется со всем предварительно упакованным и установленным, поэтому вы можете невероятно легко запускать Snorby, Squert, Sguil и т. Д. Вы будете готовы к работе через 10 минут с помощью мастера простой установки. Датчик и сервер могут работать в одной системе или в нескольких системах. Обновления также автоматически планируются ежедневно с pullpork.