vovannovig Posted April 26, 2013 Добрый день. Задался вопросом где в сети правильнее и каким образом установить SNORT, количество таких серверов, да и вообще определить рубеж безопасности. Хочу заметить что данный вопрос не касается внешних угроз,а более ориентирован на внутренних пользователей т.е. пользователей удаленных прошедших авторизацию на VPN маршрутизаторе или локальных, есть еще потенциальная угроза от удаленных филиалов, в корпоративном секторе, где нет возможности контролировать беспроводные сети, но в тоже время данные филиалы имеют каналы передачи данных ... ) Требуется грамотно мониторить атаки, обращения ПК к сервисам, неправильно настроенные маршрутизаторы(на момент отладки), на случай если пользователь подцепил "заразу",... Ну и соответственно вести учет проходящего трафика,направления,скорость загрузки каналов(дополнение к уже существующим системам) Вот некоторый материал: http://www.megahazker.ru/it/nix-os/freebsd/pfsense-transparent-bridge-firewall http://www.shorewall.net/bridge-Shorewall-perl.html http://www.opennet.ru/base/net/FilterBridge.txt.html http://securityonion.blogspot.com/2009/02/snort-30-snortsp-inline-bridging-mode.html Предлагаю также обсудить кроме возможностей и выбора данного решения еще и технические характеристики сервера выполняющего такую роль( в сравнении характеристики = скорость, pps ) Заранее спасибо за участие! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted April 26, 2013 1) это не прозрачный файрвол. 2) все зависит от объема трафика. Надо ставить в местах, которые трафик обойти не может - в ядре/ядрах, либо граничных стыках, но если защита от внутренних угроз, то в ядрах. Для лучшего мониторинга сегменты доступа должны быть разделены с сегментами серверных ферм, например, выведены в DMZ. Вообще, вопрос немного глупый. Где ходит интересующий Вас трафик там и мониторьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 26, 2013 мониторинг и место расположения серверов это разные вещи, если это IDS, а мы говорим про IDS, то их надо ставить сбоку и пускать на них только зеркалированный трафик, это снимает нагрузку с серверов по пропусканию трафика через себя и на них остается только анализ. у варианта с зеркалированием есть и другие плюсы вроде сбора трафика с нескольких точек (хоть это и дополнительная нагрузка на сеть), а минус только один не получится заменить D на P, те перейти от детектирования к блокированию, ибо чтобы заблокировать надо стоять на пути трафика Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 26, 2013 Не занимайтесь ерундой: наведите порядок в сети. Если у вас есть "дикие" офисы, то пусть получают доступ к вашим сервисам по впн, да, прямо на каждом компе свой впн до центра. И фильтровать, пущать только к тем сервисам и всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vovannovig Posted April 26, 2013 (edited) Если у вас есть "дикие" офисы, то пусть получают доступ к вашим сервисам по впн, да, прямо на каждом компе свой впн до центра. И фильтровать, пущать только к тем сервисам и всё. Именно такое решение для себя и решили реализовать. Но почему в данном контексте плохо "переб*деть" чем недобз****?Тем более если есть возможность выделить под это дело один сервер порядка Xeon X3360 @ 2.83GHz @ Кэш-память 2 уровня 12M/8G/Lan-энное количество На мой взгляд было бы полезно иметь информацию о появлении в канале трафика который потенциально опасный т.е. от не авторизованных пользователей, попытка сканирования портов или других атак... Мое субъективное мнение где-то тождественно с - http://citforum.ru/security/internet/firewalls_ids/ Edited April 26, 2013 by vovannovig Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted April 26, 2013 а сколько трафика и kpps? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 27, 2013 Потому что нужен человек который за этим будет следить и оперативно адекватно реагировать. Так же базу сигнатур нужно держать в актуальном состоянии. Такое порно имеет смысл в каких нибудь крупных сетях где деньги, типа банковских или железнодорожников. И обязательно наличие процедур реагирования. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vovannovig Posted April 27, 2013 (edited) а 1250 пользователей это крупная корпоративная сеть?и 60 филиалов? Отдельного администратора безопасности пока не предвидится, но есть кому бегать по пользователям, а кому сидеть на месте :) Обновления сигнатур бесплатное автоматическое. Edited April 27, 2013 by vovannovig Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dzek.ru Posted April 29, 2013 https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux http://suricata-ids.org/features/all-features/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rover-lt Posted April 29, 2013 Но почему в данном контексте плохо "переб*деть" чем недобз****? Если кому-нибудь приспичит закоммитить сигнатуру соединения по http, а что Snort, что Suricata будут работать в режиме inline, то будет экстремально весело. Софт бесплатный - круто. Софт можно настраивать - с одной стороны круто, с другой стороны опасность кривых рук. И тот, и другой в режиме халявы имеют опоздания сигнатур на месяц. Лучше парсить ихние логи и реагировать "ручками". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
