Нам нужно настроить систему обнаружения вторжений (IDS) на нашем прокси-сервере Linux. Подскажите пожалуйста системы обнаружения вторжений? что-нибудь еще, кроме Snort?
И ... есть ли у snort хороший веб-интерфейс?
Ваш вопрос довольно неоднозначный. Я ответил на аналогичный неоднозначный вопрос здесь:
SNORT в значительной степени является стандартом де-факто для IDS с открытым исходным кодом. В Страница Википедии перечисляет и другие. Для SNORT существует множество интерфейсов. Открытый исходный код - это ОСНОВАНИЕ и Sourcefire, компания, владеющая СНОРТ, продает коммерческую.
Я использовал OSSEC HIDS. По сути, он проверяет целостность файлов (/ etc / passwd, ...) и анализирует файлы журналов (syslog, auth.log, ...). Он имеет удобный веб-интерфейс и уведомление по электронной почте. Но, думаю, ничего особенного.
С Уважением,
Мартин
Просто для мониторинга сети или вторжения в систему? Сканер целостности файлов может быть полезным, но для его обслуживания требуется определенная работа, поскольку он требует обновления каждый раз, когда вы обновляете систему, и требует небольшой начальной настройки. Увидеть Открытый исходный код Tripwire страницу для получения информации об этом.
В Википедии есть ссылки на IDS системы тоже.
я бы не сказал ничего лучше, чем настройки на уровне команд для решений безопасности, чтобы контролировать все реализованное ... хотя
для графического интерфейса Snort есть: http: // sguil.sourceforge.net / не знаю, насколько хорошо вы его найдете, но можете взглянуть на Scrrenshots @ http: // sguil.sourceforge.net / screenshots .html
кроме SNORT, хорошие IDS - это BRO: http://www.bro-ids.org/
прочтите над ним исследовательскую статью ... имеет хорошую подключаемую архитектуру ... хорошо работает
IDS отличается от IPS (система защиты от вторжений). Зачем нужна IDS, планируете ли вы сообщать об атаках или создавать брандмауэры, чтобы остановить грязный сетевой трафик?
Squid и другие прокси-серверы могут быть настроены для передачи только чистого трафика ... В Интернете существует определенное количество пакетов с грязными данными, выделение из них можно игнорировать.
Snort с интерфейсом типа BASE или ACID. много циклов ЦП, ОЗУ и пространства SQL (Физическая память). Если вы имеете дело с средой производственного уровня, IDS необходимо правильно настроить, иначе это очень быстро станет бессмысленным.
Если вы запустите snort на своем прокси-сервере, базы данных и журналы не будут поддерживаться еженедельно, скорее всего, ваш прокси-сервер зависнет из-за нехватки ресурсов.
Скажем, у вас есть искренний интерес к IDS. В зависимости от вашего трафика вам потребуется серьезный сервер, хотя он должен поддерживать Squid + Snort + Apache + MySQL + PHP WebGUI.
Более желательным вариантом было бы установка выделенной машины и выделенной сетевой карты для мониторинга, подключенной к зеркальный порт на главном выключателе.
Удачи, IDS интереснее, чем полезно.
Проверять, выписываться Проект HoneyPot и OSSEC