|
| 1.2, enterup (??), 16:39, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Еще книжка которая хорошо идет к Снорту
"Обнаружение нарушений безопасности в сетях." Стивен Норткат, Джуди Новак
В ней же есть пара глав посвященных snort | | |
| 1.3, alex (??), 17:05, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хорошая статья, жаль что подойдет только для небольшой сети. | | |
| |
| 2.5, Квагга (?), 18:18, 18/04/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Snort или статья "только для небольшой сети"?
Для "большой сети" у 3Com есть Tipping Point 100Е.
Всего 15000 баксов за третий пень в 512 ОЗУ.
Тот же пень со Снортом дает вчетверо лучшую производительность
при подавляющем функциональном превосходстве :) | | |
| |
| |
| 4.8, balamutang (?), 22:26, 18/04/2006 [^] [^^] [^^^] [ответить]
| +/– | |
кстати не удивлюсь если там в типпинг поинте окажется снорт собранный под VXWorx | | |
|
| 3.7, alex (??), 21:32, 18/04/2006 [^] [^^] [^^^] [ответить]
| +/– | |
сататья конечно же, на мой взгляд наиболее правильно сначала рисовать топологию сети, определять где будут располагаться сенсоры, база данных и т.д., а так сборная салянка на одном NAS сервер это тривиально. | | |
|
|
| 1.4, Квагга (?), 18:14, 18/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Просто очень плохая.
Не рассмотрены:
1. Ойнкмастер
2. Политики Снорта.Орга по распространению правил
3. ACID
4. Guardian etc.
5. И главное: КАК НЕ ПОСТАВИТЬ СВЯЗКУ Snort+Guardian РАКОМ.
(РАК: состояние файервола в позиции IP_FILTER_DEFAULT_BLOCK)
6. Писать такие статьи "по литературе" не надо. Поставил, отладил - пиши. | | |
| |
| 2.12, rrv (?), 07:52, 19/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
Можешь лучше?
Напиши!
С удовольствием почитаем. За одно покажешь, насколько ты крут.
А кидаться не развернутыми терминами......
| | |
|
| 1.10, gvf (?), 00:28, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ геморроем
ПС из личного опыта админа большого ИСП:
нафиг это пионерство! все в сад. берите PIX они того стоят.
ППС при чем тут мощь центрального проца??? там все решают специализированные DSP | | |
| |
| 2.13, prog10 (?), 09:27, 19/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>а ещё, дети, помните: игрушки с промиск режимом на сетевухе чреваты БОЛЬШИМ
>геморроем
>
>ПС из личного опыта админа большого ИСП:
> нафиг это пионерство! все в сад. берите PIX они того
>стоят.
>ППС при чем тут мощь центрального проца??? там все решают специализированные DSP
>
Скажи мне сколько закладок тебе извесно в PIX, прошли слухи что в ираке PIX-ы и пр оборудование CISCO были удаленно вырублены (сам не видел , но доверия ко всему закрытому давно уже нет).
| | |
| |
| 3.22, rr (?), 05:08, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Спасибо за ссылку, интересный анализ!
> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
| | |
| |
| 4.23, Helagar (?), 11:18, 20/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Спасибо за ссылку, интересный анализ!
>
>> система TippingPoint IPS устанавливается в сети прозрачно, без IP-адреса и MAC-адреса
>
>Поясните, а как это возможно - без MAC-адреса? Что-то я не догоняю...
>
Довольно просто. Сетевуха пашет в промиск режиме и принимает все пакеты, потом они обрабатываются и передаютя на выход или отбрасываются. МАК адрес при этом не меняется.
Т.о. данное устройство с точки зрения протоколов канального и выше уровней представляет из себя кусок кабеля. | | |
|
|
|
| 1.11, gvf (?), 00:31, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
ПППС IDS - прошлый век, комсомольцы смотрят в сторону IPS (prevention) | | |
| 1.14, Chris (??), 10:18, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Опять пришли в 3Com TP? :-)
IPS без IDS работать не будет по любому. Давайте от незнания не парить мозги другим.
Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита, но не обнаружение и предотвращение. | | |
| |
| 2.15, sbrv (?), 10:42, 19/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Опять пришли в 3Com TP? :-)
>IPS без IDS работать не будет по любому. Давайте от незнания не
>парить мозги другим.
>
>Про циску, у циски нет продуктов IPS. Да PIX хорошь как защита,
>но не обнаружение и предотвращение.
Посмотрите продукты линейки ASA 5500 и IPS 4200
| | |
|
| 1.17, Evgen (??), 11:03, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ставить до файерволе нельзя
в снорте довольно часто бывают уязвимости
и как ктото сказал "в промиске" -гемморой
надо давать ему или зеркало или за файерволом ставить | | |
| 1.19, g_kos (?), 14:22, 19/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Пикса как ИДС полное гавно, сигнатур маловато, да и как обновлять будете?
А ТП просто рулит, последний продукт ИПСит 60 Гбит. | | |
| 1.24, Иван (??), 12:09, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
народ, если кто знает, какие еще есть системы подобного плана? хочу развернуть нечто подобное в своей сети (порядка 500 машин), в какую сторону лучше смотреть?
| | |
|
