Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2
RSS
Теория и практика файрволинга локальной сети. Часть вторая. Практика.
 
2крен: в догонку: snort должен ты собрать с поддержкой MySQL. ./configure --help на предмет --with-mysql или --enable-mysql, не помню уже как это в горбатых дистрах, у меня в Gentoo все просто, как в win. Мускул соответственно должен быть установлен перед тем, как ты будешь собирать snort.
 
Цитата
chiko пишет:
А что мешает обновить дистр? В RH есть rpm - бери и ставь.[quote] И нафига выкачивать апдейты для этой рухляди RH7.2 размером с ее дистр, если можно взять последний дистр той же RH, слаквари или генту и не разоряться на трафике?
[QUOTE]крен пишет:
а вот и нет. дистриб надо юзать годовой и двухлетней давности, когда дыры все заделаны, и патчи отточены.
В курсе что RH забила на апдейты 7.2 уже давным давно? И не так давно забили на обновление своей RH9, теперь поддерживаются только RHEL и FC.

Так что рекомендация насчет выкидывания старья в помойку правильная, особенна она была актуальна когда из линухи сыпались дыры как из рога изобилия. Какой смысл использовать старый неподдерживаемый и дырявый дистр, для которого апдейтов придется качать столько же, сколько весит сам дистр?
 
...
We have also taken this opportunity to clarify the end of life dates for
errata support for our current products:

      Red Hat Linux 8.0 (Psyche)        December 31, 2003
      Red Hat Linux 7.3 (Valhalla)      December 31, 2003
      Red Hat Linux 7.2 (Enigma)        December 31, 2003
      Red Hat Linux 7.1 (Seawolf)       December 31, 2003
      Red Hat Linux 7.0 (Guinness)      March 31, 2003
      Red Hat Linux 6.2  (Zoot)           March 31, 2003

All users of these products should plan to upgrade before the given end of
life dates in order to continue to receive errata. In addition, the
following products have now reached their end of life for errata and are
no longer supported:

      Red Hat Linux PowerTools (6.2, 7, and 7.1)
      All Red Hat Linux releases for the Alpha and Sparc architectures
      Red Hat Linux 7.1 for the IA64 architecture

...

http://www.redhat.com/archives/redhat-watch-list/2002-Decemb er/msg00008.html
 
Цитата
offtopic пишет:


Ага. Очень хочу попасть на курсы Информзащиты. Аж из кожи лезу. :-)

Все очевидно. Выигрываешь все призы и на твои курсы кроме тебя никого не будет. Сможешь на недельку выбраться в отпуск  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
Luka
 
Цитата
FRom пишет:
В результате, реализация такого проэкта лишний раз подтвердит мнение упомянутых в первой части Отцов: ИДС никому не нужны.

Бред. IDS не нужна тому, кто не умеет ее грамотно настраивать. Дело не в IDS, которая отслеживает все, что нужно. Дело в том потоке алертов, которые сыпятся на консоль админа. По истечение некоторого периода админ будет сидеть с выпученными глазами и таращиться на сообщения, сменяющиеся со скоростью мысли. Сейчас все серьезные разработчики IDS концентрируют свои усилия на снижении числа ложных срабатываний и на правильном управлении алертами. Один из таких механизмов - корреляция событий, которая, будучи грамотно настроенной, снижает число событий, с которыми должен разбираться админ, на несколько (!) порядков.
Luka
 
Цитата
FRom пишет:
3. Мало того, в такой ситуации понадобятся значительные вложения в железо: Обычно сервера стоят на 100Мбит/с или даже 1Гбит/с подключениях. Это значит, что на снорте и на его свиче сеть должна быть в 6 раз быстрее, что если и реализуемо, то стоит дорого. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник.

Не совсем так.
1. Во-первых, трафик на сервера подается пульсирующий, т.е. гигабит (если там гигабит) - это максимальное значение, которое держится недолго, если вообще достигает. На практике, значение загрузки канала будет ниже. А следовательно, скорость работы IDS нужна не в 6 раз большая.
2. Фильтры на IDS (не обязательно это должен быть Snort) отсекает часть трафика, а следовательно объем трафика для анализа становится еще ниже.
3. На комп можно поставить несколько копий Snort, каждая из которых будет слушать свою сетевую карту.
4. Можно использовать балансировщики нагрузки, которые решают проблему с распараллеливанием высокоскоростного трафика на несколько малопроизводительных сенсоров.
5. И наконец, уже существуют IDS, работающие на скоростях до 4 Гбит/сек. При этом сейчас ведутся работы по созданию IDS для 10-тигигабитных сетей.
Luka
Страницы: Пред. 1 2
Читают тему (гостей: 1)