Forum Debian Users Gang

- Snort jako IDS
- Suricata jako IPS

To są dwa konkurencyjne programy, które robią to samo.
Snort sam potrafi pracować jako IPS, trzeba go tylko sprząc ze skryptem Guardian, lub ze Snortsamem. (Snortsam to osobny demon, do komunikacji na linni Snort => Snortsam potrzebna jest łatka na Snorta, która u mnie (w Snorcie  2.8.6.* likwidowała zdolność Snorta do zapisynania logów w Mysql)).
Guardian natomiast, to prosty demon napisany w perlu, parsujący logi Snorta.

Sznurki:
http://www.chaotic.org/guardian/
http://www.snortsam.net/
http://forum.dug.net.pl/viewtopic.php?pid=173187#p173187

Jakbyś przy okazji wyczaił, jak wzmusić Guardiania, żeby czytał z gniazda /dev/snort
stworzonego poleceniem mkfifo, to daj znać :D
Bo mnie się nie udało,a w pracy inżynierskiej takie drobiazgi się przydają.

Dlaczego kolejka fifio? - jest na oko X razy szybsza, niż parsowanie sysloga,
natomiast Snort od jakiegoś czasu zapisuje logi tylko w formacie binarnym, których Guardian nie czyta.
(Zauważyłem to u mnie, od wersji 2.8.6.*)
Dlatego planuję wykorzystać trasę Snort=>Rsyslog=>|/dev/snort=>Guardian.


Ciekawym pomyłśem byłoby uzupełnienie twojej pracy o honeyd.
http://www.honeyd.org/faq.php
http://en.wikipedia.org/wiki/Honeyd
Ten potrafi wykryć podejrzane zachowanie np robaków sieciowych i automatyczne skanowania portów z 100 razy skuteczniej, niż Snort.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-11-28 10:46:09)