Приятная статья. Почти. Есть мелочи: 1. Мне показалось, что она была сделана не для 2000, 2003, а для NT4.0(кстати, RH7.2 в те времена жил). Почему? В 2К и 2К3 exchange ставится только на DC. А раз это DC, значит это AD, а раз это AD, значит это DNS. 2. В результате систесма генерит слишком много ложных срабатываний: Exchange, который DC, будет реплицироваться и общаться с остальными домен-контроллерами. 3. Мало того, в такой ситуации понадобятся значительные вложения в железо: Обычно сервера стоят на 100Мбит/с или даже 1Гбит/с подключениях. Это значит, что на снорте и на его свиче сеть должна быть в 6 раз быстрее, что если и реализуемо, то стоит дорого. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник.
В результате, реализация такого проэкта лишний раз подтвердит мнение упомянутых в первой части Отцов: ИДС никому не нужны.
FRom пишет: В 2К и 2К3 exchange ставится только на DC.
Полная чухня. Покажите пальцем, где это написано?
Цитата
FRom пишет:
В результате систесма генерит слишком много ложных срабатываний: Exchange, который DC, будет реплицироваться и общаться с остальными домен-контроллерами.
Специально для этого есть секция пассфру и привязка службы NTDS (по которой реплики ходят) к 1026 порту и разрешения этого трафика между контроллерами домена.
Цитата
FRom пишет:
3. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник.
Про инвистиции - это да. Но с другой стороны рваться будет tcp соединение не соответвующее политике после обнаружения _одного_ пакета (хоть из середины сессии, хоть из начала, хоть в конце). Так что - вещь вполне рабочая.
Данный вариант очень хорош, когда IDS уже поставили и можно рядом с ними присоседить этакую мухобойку на снорте
r00t пишет: Клевая схема сети: вебсервер торчит не в каком-то там DMZ, а прямо в интранете.
А про такую вешь как корпоративный web-server не слышали? Share-point портал например? Зачем его в DMZ. Или это рефлекс - при слове WEB сразу DMZ в голове всплывает ?
Хорошо бы конечно все сервера в отдельный сегмент вынести, но это уже совсем другая сказка.
Цитата
r00t пишет:
Мммм RedHat 7.2 - тоже клево.
А чем вам не нравится RedHat 7.2 всем? Работают же в сетях NT и 98, почему бы более молодому линуху в сетке не постоять ?
Занес для себя в справочник системного администрирования.....веду такой в тестовой виде........Потому что правильно показана система построения безопасной сети....
Неплохо! Хочу добавить от себя: весьма гиморно (на мой взгляд) чекать логи из файла /var/log/snort/alert. Не лучше ли проделать то, что написано здесь ? Логи падают в MySQL-базу, на втором интерфейсе висит sshd и apache с mod_php. И вместо писанины собственных скриптов или grep'анья того самого лог-файла сидим и смотрим на логи с классификацией через веб-морду. IMHO куда приятней. Да, кстати, я заменил ACID на OpenAanval - гляньте скрины, может и вы замените? Можно юзать и совместно, т.к. OpenAanval не предлагает возможности удалить записи из базы. Буду рад интересным линкам на предмет "примочек" для Snort. Удачных вам "подкладок свиней"!
offtopic пишет: Или это рефлекс - при слове WEB сразу DMZ в голове всплывает ?
Не - просто прямые ассоциации "WEB/MAIL/PROXY -ЗЛОЙ INET" Да и на самом деле очень многие ставят толи из-за дурости толи из-за безденежья веб- и почтовые сервера в одну подсеть с файлсерверами, DC, серверами БД и рабочими станциями, мапя порты на гейте на эти сервера, имея при этом поимение всей локалки через cкомпрометированный веб или почтовый сервак. Бывают адмы-лолики, к-рые вебсервер+почтовый сервер ставят на машину, по совместительству являющуюся backup или DC.
Цитата
offtopic пишет: А чем вам не нравится RedHat 7.2 всем?
Ну почему же - мне лично RH7.2 нравится А если смотреть с точки зрения безопасности, то RHL 7.2 - ось просто параноидально безопасная, если, конечно, не учитывать пару десятков дыр =)) неск-ко в кернеле, дырявый chroot, неск-ко в сендмыле, дырки в apache, php, telnetd, sshd, su, sudo, samba, неск-ко в иксах и тп. Клевый дистр, в котором нужно менять вообще все. Я где-то слышал такую справедливую рекомендацию: "если вашему дистрибуту больше полугода, то выкиньте его на помойку" ;P
Клевый дистр, в котором нужно менять вообще все. Я где-то слышал про такую рекомендацию - если вашему дистрибуту больше полугода, то выкиньте его на помойку ;P
Ага! Попался! Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
offtopic пишет: Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
Ну нужно же линуксоидам и работать иногда, а не только в потолок плевать ) Хотя, конечно, можно линуху запатчить PaX-ом каким-нить так, что врядли кто ее сможет сломать, и забить на апдейты.
а я все равно считаю, что call, потому как неинформативно, плюс мало написано, вобщем чувачек решил отписаться для конкурса, а посути нам дан частный конфиг и краткие пояснения к нему...
надеюсь это мое мнение не пропадет по воле небритых модераторв...
Клевый дистр, в котором нужно менять вообще все. Я где-то слышал про такую рекомендацию - если вашему дистрибуту больше полугода, то выкиньте его на помойку ;P
Ага! Попался! Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
А что мешает обновить дистр? В RH есть rpm - бери и ставь. Если админ более-менее опытен, грабли обойдет. К тому же есть Gentoo Linux (не знающий понятия "новый дистрибутив"), процедура его обновления проста до ужаса. Даже "та самая домохозяйка", для которой Билли ночами не спал и кропел над клавой и та сможет проапдэйтиться по-полной. Вспомните, что OS Linux развивается и распространяется не благодаря CDROM и дистрам на них, а благодаря Internet. Если у нас корпоративная сеть наезды в стиле "трафик стоит денег" не принимаются (ну разве что мега-корпорация "Валенки & Веники LTD)
chiko пишет: Неплохо! Хочу добавить от себя: весьма гиморно (на мой взгляд) чекать логи из файла /var/log/snort/alert. Не лучше ли проделать то, что написано здесь ? Логи падают в MySQL-базу, на втором интерфейсе висит sshd и apache с mod_php. И вместо писанины собственных скриптов или grep'анья того самого лог-файла сидим и смотрим на логи с классификацией через веб-морду. IMHO куда приятней. Да, кстати, я заменил ACID на OpenAanval - гляньте скрины, может и вы замените? Можно юзать и совместно, т.к. OpenAanval не предлагает возможности удалить записи из базы. Буду рад интересным линкам на предмет "примочек" для Snort. Удачных вам "подкладок свиней"!
я так и не смог сделать чтобы снорт колбасил предупреджения прямо в mysql. хотя вебкличент вроде прально настроил. может кто подкинет сцылу или руколязычный материал как снорт по божеси прикручиватся к системе
>Я где-то слышал про такую рекомендацию - если вашему >дистрибуту больше полугода, то выкиньте его на >помойку ;P
а вот и нет. дистриб надо юзать годовой и двухлетней давности, когда дыры все заделаны, и патчи отточены. когда написаны все ХАУТУ и факи, когда темных вопросов не остается, и все спорные вопросы провентилированы. и в систему корявыми ручками не лазить. тогда тачка хоть 10 лет простоит как новенькая, знай только жесткие меняй при отказе. пример - снес как то RH90 и споставил ASPLinux92 - матерился. ибо новая система - глючаная система.
крен пишет: я так и не смог сделать чтобы снорт колбасил предупреджения прямо в mysql. хотя вебкличент вроде прально настроил. может кто подкинет сцылу или руколязычный материал как снорт по божеси прикручиватся к системе
Читай внимательно *.pdf'ку. Там есть всё. Если ты создал в мускуле базу, в ней таблицы, определил пермишены (копи-пастом блин делается за исключением паролей), то собака зарыта скорее всего в /etc/snort/snort.conf в строке output database: log, mysql, user=snort password=ТвойПасс dbname=snort host=localhost. Смотри не перепутай ничего. Ставится заминут пять. Обрати внимание на строку в доке: /usr/local/mysql/bin/mysql -u root -p < ./contrib/create_mysql snort - путь ./contrib/create_mysql говорит о том, что ты должен находиться в директории с исходниками snort, хотя можешь указать его откуда угодно, главное - наличие исходников, а не голимый *.rpm. ACID можешь не ставить, OpenAanval мне больше по душе. Просто читай доку и делай как в ней написано. Всё ОЧЕНЬ просто.