Посоветуйте, плиз, хорошую коммерческую IDS. Основная задача: отслеживать факты сканирования портов на Win2K серверах.
21.03.2006 16:44:17
Посоветуйте, плиз, хорошую коммерческую IDS. Основная задача: отслеживать факты сканирования портов на Win2K серверах.
|
|
|
|
21.03.2006 17:26:24
Самая навороченая под винду
|
|
|
|
21.03.2006 17:38:59
По этой ссылке попал на RealSecure 10/100. Это не HIDS, а NIDS. И стоит она в районе 5000 $. Мне нужна HIDS, в районе 1500$. Мне всего лишь нужно отслеживать факт сканирования портов на сервере.
|
|||
|
|
21.03.2006 17:42:58
по-моему для таких задач хватит и отпоста! надо соотносит задачи и стоимость!
|
|
|
|
21.03.2006 20:31:52
В таком случае - Microsoft Internet Security and Acceleration (ISA) |
|||
|
|
22.03.2006 07:55:52
Зависит от нагрузки, также его и обкастрировать можно... |
|||
|
|
22.03.2006 10:18:19
|
|||
|
|
22.03.2006 10:19:38
|
|||
|
|
22.03.2006 10:23:36
Неужели нет нормальных HIDS? У Symantec был продукт Symantec Host IDS. К сожалению, больше не продается. |
|||
|
|
22.03.2006 10:50:00
Разумеется. Это полноценная IDS, в том числе для этого ISA и предназначен. |
|||
|
|
22.03.2006 22:18:08
К сенсору политику какую-нибудь применял отличную от default или blank? |
|||
|
|
23.03.2006 08:57:00
Это тебя кто-то обманул. ISA это межсетевой экран у которого есть несколько модулей (в том числе и скан портом) по обнаружению атак. Их штук десять, все написаны ISS в 2000м году (сейчас 2006, это так - навсякий случай).
Политику примени Attacks & Audits и будешь приятно удивлен. По умолчанию сенсор не обнаруживает никаких событий. |
|||||
|
|
23.03.2006 14:48:29
Не понимаю в чем обман? Да, ISA - это межсетевой экран. В ISA есть внутренняя функция Alerts, которая является полнофункциональной IDS. Она отслеживает более полусотни событий, в том числе различные вариантры сканирования портов, может регистрировать ошибки протоколов и попытки нападений, сообщать об этом по почте администратору, что собственно и нужно автору. По факту обнаружения попыток вторжения можно также запускать любую программу, скажем по противодействию или посылать смс админу. Есть возможность подгрузить дополнительные фильтры ISS или других разработчиков. По крайней мере модули Alerts в дистрибе имеют копирайт Microsoft corp. А что еще надо? |
|||
|
|
23.03.2006 15:01:55
Может мы разные вещи понимаем под полнофункциональной IDS У ISA есть API для подключения модулей IDS. Но сама она кроме скана портов и ping of death особо мышей не ловит. |
|||
|
|
23.03.2006 15:16:19
DNS Intrusion Intrusion detected (в т.ч. частичное или полное сканирование портов) IP Spoofing Network configuration changed Oversize UDP packet POP Intrusion RPC filter SMTP Filter SOCKS Routing Web Proxy routing ... и еще пол сотни событий. Мало? Подключайте дополнительные фильтры и модули, пишите свои, есть API. Не понимаю о чем спор Чем ISA не полнофункциональная IDS? Вообще-то автор спрашивал только про сканирование. Это прекрасно отлавливается. |
|||
|
|
23.03.2006 15:53:51
Конечно! Поймать UDP пакет размером больше 512 байт - это единственная цель современных IDS. А как у ISA с отловом MS04-011 (SSL) поверх SMTP? Или того же MS-04-011 поверх 445-UDP с использованием фрагментации RCP? А никак, ну не знает она про современных угрозы. Она ping of death ловит.
Ну это да. Это я согласен. Полтора килобакса это как-раз та сумма которую стоит платить за обнаружение сканрования портов. И вообще - давайте поставим на каждый сервак по ISA Server, че паритца. |
|||||
|
|
23.03.2006 16:46:25
Спасибо, попробую. |
|||
|
|
23.03.2006 16:53:02
ISS Blackice - быстрая, постоянно обнавляется и много атак обнаруживает.
И стоит баксов 300 по мойму.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
23.03.2006 17:04:40
А что мешает создать подходящий фильтр с соответсвующим алертом?
Ну некоторые за IDS и по 30 килобаксов выкладывают, а можно за 100 рубликов на рынке ISA купить и не полениться настроить. |
|||||
|
|
||||