Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Введение в IPAudit
 
Обсуждение статьи Введение в IPAudit
 
интересно, есть ли у кого сети, построенные таким образом, чтобы можно было разместить упомянутую утилиту, и она реально работала?
 
если один шлюз то почему нет ?
 
Прежде чем сравнивать с другими решениями, с ними надо сначала ознакомиться.

Ну c каких пор Netflow стал утилитой? Это протокол. А сравнивать утилиту с протоколом - это нечто.

Во-вторых, для использования рассматриваемой утилиты ее надо для начала внедрить. Тот же NetFlow уже реализован в маршрутизаторах и некоторых коммутаторах и приобретать его отдельно уже не надо.

В-третьих, совет установить утилиту на все IDS очень интересен. Особенно для программно-аппаратных или просто аппаратных IPS - Cisco, Juniper, Enterasys, 3Com и т.д. Не говоря уже о том, что на железо с IPS обычно ничего лишнего не ставят.

В-четвертых, я так и не понял, чем эта утилита отличается от IPS/IDS? Что она такого еще делает, чего не делают IPS/IDS? Raw data и IDS/IPS генерят и их тоже можно анализировать.
Luka
 
OFF Luka, привет!
Теперь по делу... Масса вопросов...
1. Все изложенное imho можно с успехом транслировать на любую современную IDS. Может я чего-то не понял, но либо эта система должна дополнять какую-либо ущербную IDS, либо сама полность выполнять эту функцию.
2. Если есть несколько точек прослушки трафика, то как кореллировать события?
3. Где и в каком формате хранится накопленная информация? На сколько объемной и производительной должна быть дисковая система?
4. Общение с сервером происходит по HTTP. Где гарантия что он сам не может быть атакован и трафик не перехвачен? Для web-консолей все таки предпочтительнее HTTPS.


И т.д. и т.п.... Т.е. сниффер с прикрученым web-интерфейсом
 
Примет, Рома!

А собственно главная мысль вот в чем - что в IP Audit позволяет обнаруживать атаки/аномалии? Базы сигнатур там нет, правил обнаружения аномалий тоже. Т.е. все вручную приходится делать. Ну так зачем мне тогда IP Audit? Чем он лучше обычного сниффера?
Luka
 
наверно скора ФСБ и прочье воткнут провайдерам такую - как обязанность
хотя СОРМ-2 есть но трудно представить что это есть из себя =))
 
Вообще-то это именно IP-аудит.
Простенькое решение для анализа трафика в своей сети. Просто анализа. Что-кто куда. И не на периметре, а в локалке. Конечно не Qradar и протоколы не разбирает, но все же.
 
Вообще нормальная (ИМХО) утилита для анализа данных полученных при помощи библиотеки pcap.
На все вопросы (В каком формате сохраняет например) легко получить ответы почитав маны :))))
http://ipaudit.sourceforge.net/documentation/manpages/ipaudit.html
По поводу https вообще вопрос не корректный - Apache+mod_ssl = https - что мешает сделать так не понятно (Просто в статье об этом не сказано.) Или сделайте туннель http over ssh или http over ssl при помощи stunnel или еще 60-т других способов :)
 
поставил себе, собираю статистику. навскидку - отличная прога.
 
Во время установки, когда даю команду 'make install-cron', ОС (FreeBSD 5.4-RELEASE) выдаёт следующие сообщение и прекращает установку:

# make install-cron
* This crontab install should be enough cross-platform to complete successfully.
If there are errors or suggestions, mail jh at dok.org.

su ipaudit -c '   cd ~/;   crontab -l 2> /dev/null |   grep -v cron/cron |   grep -v ^# > cron-install.tmp;    cat cron/crontab.install >> cron-install.tmp;  crontab cron-install.tmp;  rm -f cron-install.tmp '
Ambiguous output redirect.
*** Error code 1

Stop in /usr/home/ipaudit/ipaudit-web/compile.

С чем это может быть связано? Спасибо.
 
:spam:  А как запускать программу? Всё установил, но надо же и демон запустить? а как?
7
 
2 Гость
Хм а как вы думаете а для чего комманда make install-cron ? :)
 
Кто разобрался с этой прогой постучите в аську 2608395
Страницы: 1
Читают тему