Я собираюсь выделить некоторое IP-пространство, чтобы кто-то мог использовать его как пространство для совместной работы и выделенный хостинг. В сети будет свой собственный маршрутизатор cisco и несколько управляемых коммутаторов уровня L2, которые я буду администрировать, поэтому зеркалирование портов и прослушивание не станут проблемой.
Я ищу способ, помимо snort, отслеживать его на предмет исходящих спамеров и действий плохих парней, таких как вредоносные или взломанные скрипты php, а также незаконные вещи, к которым я не хочу приближаться. У меня есть решения некоторых из этих проблем в разных сетях, но мне нужно быть очень активным в этой сети. С моей стороны невозможно проверить программное обеспечение на каждом сервере, хотя мы будем часто проверять сеть. Кроме того, вполне возможно, что эти хосты будут отправлять сообщения электронной почты.
Есть ли у кого-нибудь какие-либо решения с открытым исходным кодом для подобных проблем, которые они бы порекомендовали?
Я, вероятно, в конечном итоге предоставлю этой сети собственный SMTP-сервер с обнаружением спама и антивирусом, а затем запретлю исходящий SMTP-сервер в этой сети для чего-либо, кроме нашего сервера.
Мой лучший совет - установить какую-нибудь IDS (например, Фырканье), возможно, в сочетании с экспортером Netflow и такими инструментами, как инструменты потока и / или JKFlow. Это позволит вам анализировать активность в вашей сети и обнаруживать «необычные» или «подозрительные» события.
Ключевым моментом здесь является определение того, что является «нормальным», а что «ненормальным» для вашей среды в долгосрочной перспективе, таким образом, любые получаемые вами предупреждения будут значимыми. Если ваша система мониторинга постоянно выдает ложные тревоги, вы в конечном итоге потеряете чувствительность к ним и пропустите реальную проблему.