РекламаОпросПользуетесь ли вы услугами удаленных сисадминов? Да, постоянно 16% Да, если возникают какие-то проблемы 11% Нет, только запрашиваю консультации 26% Нет, вообще не пользуюсь 42% Свой вариант, напишу в комментариях 5% Всего голосов: 19 Статистика
Спонсоры сайтаПоискВход для пользователейНавигацияСбор новостей |
NIDS спешит на помощь.Принцип защиты с помощью Network Intrusion Detection System (NIDS) основано на принципе - проблему лучше предотвратить, чем потом исправлять. NIDS позволяют обнаружить попытки вторжения еще до организации серьезной распределенной атаки или флуда определенных служб. Это может быть активное сканирование портов, попытка эксплуатации известных уязвимостей и другая подозрительная активность. Установив NIDS на дедик, например snortsam, можно предотвратить атакующего еще на этапе сканирования портов, установив открытые порты-ловушки и поставив в правило блокирование на 10 секунд. NIDS так же может помочь и в случае серьезной DDoS – атаки, блокируя атакующие хосты на аппаратом Брандмауэре cisco, checkpoint firewall и т.п. Грамотно настроенный NIDS способен защитить не только от DDoS, но и от множества других атак, таких как sql-иньекции, атак методом перебора паролей и многих других. Следует отметить, что apache имеет свой модуль для защиты – это mod_dosevasive, который блокирует “назойливых” посетителей, обновляющих слишком часто одну и ту же страницу. К сожалению, этот модуль может принести больше вреда, чем пользы, особенно если посетители большой локальной сети будут посещать этот сайт напрямую, без прокси. Стоит более чем 10 человек открыть один и тот же сайт - и вся локальная сеть будет заблокирована.
|
AdsПоследние комментарии
Сейчас на сайтеСейчас на сайте 0 пользователей и 36 гостей.
|
howto?
Сами мы не ставили snortsnam, и пока что с ним опыта не имеем. Однако слышали мнения (на cPanel, ev1, WHT форумах) что snort имеет смысл ставить перед файрволом, т.е. по сути, как внешний "промежуточный" сервер.
Что вы можете сказать по этому поводу?
Может стоит выложить примерные конфиги и соображения чтобы статья не была голословной?
Спасибо.
Зависит от зада
Зависит от задачи.
Если цель - защитить локальную сеть, то логично поставить его перед файерволом. Если защищать вторичный DNS или вебхостинг, то смысла в этом нет.
Конфигурационные файлы и сама настройка описана, в том числе и на русском языке. Что касается самих правил snotsam, то это индивидуальная задача, и готового решения нет, необходимо анализировать попытки и самостоятельно устанавливать правила блокировки.
Замечания
1. snort и snortsam - разные вещи.
2. snort игнорирует факт существования snortsam.
3. Патчи snortsam отстают в версиях от snort, для которого предназначены.
4. Даже со свежими snortsam патчами snort не собиратеся.
5. Бинарники snort, собранные командой snortsam ведут себя непредсказуемо.
Пояснения
1. snort - это NIDS. snortsam - это дополнение к snort.
2. Это не так - http://www.snort.org/dl/contrib/patches/snortsam/
3. Следовательно, надо ставить не самую последнюю версию snort
4. Это у Вас от недостатка опыта
5. Аналогично
Вообще интересн
Вообще интересная вещь, админ ы сами пользуйтесь?
Вы здесь о русском описании говорили, подарите ссылку.
Пользуемся на т
Пользуемся на тех серверах, где это имеет смысл.
http://www.opennet.ru/base/faq/snort_faq_ru.txt.html
А его наверное и
А его наверное из под jail-a не поставишь, он же так же работает как iptw :(
А зачем его став
А зачем его ставить из под jail?
Я посмотрел, нел
Я посмотрел, нельзя. В случии если юзеру запрещен допуск к конфигурации ядра.
Плиз уточните в чём её разница от iptw?
Хотя здесь напи
Хотя здесь написано что ядро ему по баробану: http://old.linux.kiev.ua:8080/~ipesin/translations/rhm/snort.htm
И ещё вопрос, я п
И ещё вопрос, я почитал а в чём разница между snort и темже iptw
Заголовки...
> Зависит от зада
Как-то очень хитро заголовки обрезаются... может надо таки больше символов на них выделить? ;)
Проще уж вообще
Проще уж вообще отключить.