Tag Archives: Ips/ids

Как проверить Suricata при помощи Pytbull

Ваша любимая IDS/IPS установлена и запущена, и вы возможно удивитесь если все работает так как и должно, журналирование или отбрасывание нежелательных пакетов. Для того, чтобы проверить это понадобится Pytbull основанный на python гибкий фреймворк для проверки IDS/IPS, поставляемый с более чем 300 тестами, сгруппированными в 9 модулей, охватывающий большой объем атак (clientSideAttacks, testRules, badTraffic, fragmentedPackets, multipleFailedLogins, evasionTechniques, shellCodes, denialOfService, pcapReplay).
Читать далее…

Лучшие дистрибутивы linux для мониторинга безопасности сети

Insta-snorby
 
Приложение разработано для пользователей, которые хотят протестировать Snorby (новый фронт-энд Snort IDS) или нужно быстро и не вдаваясь в детали установить сенсор Snort.

В комплекте:

  • Snort 2.9.0.3 – самая последняя версия популярной системы обнаружения вторжения
  • Barnyard 2.19 – приложение, которое расшифровывает логи unified2 Snort и кладет их в базу данных snorby
  • Snorby 2.2.1 – фронт-энд системы обнаружения вторжения
  • OpenFPC – полный пакет для мониторинга захваченных данных
  • Pulled Pork 0.5 – управление обновлениями правил системы обнаружения вторжения

 
Процесс установки будет включать установку MySQL сервер и вопрос куда класть ваш Oinkcode, который будет автоматически скачан с самыми последними правилами VRT (признаки мощной системы обнаружения вторжения) из SourceFire. Emerging Threat правила (другой популярный дистрибутив правил) уже доступен и можно скачать.
 
http://www.snorby.org
 
Читать далее…

Анализ эффективности Snort и Suricata, инструментов обнаружения и предотвращения вторжения

Дэвид Дэй, Бенджамин Бернс

Аннотация – в последнее время наблюдается переход на многоядерные процессоры, и как следствие разработка многопоточных приложений. Многопоточные сетевые системы обнаружения и предотвращения вторжений (NIDPS) рассматриваются в настоящее время. Suricata является многопоточным open source NIDPS, является разработкой Open Information Security Forum (OISF). Это повышает популярность, так как вы можете использовать под лицензией GPL, с открытым исходным кодом. Этот документ описывает эксперимент, состоящий из ряда инновацонных тестов, чтобы установить, показывает ли Suricata повышение точности и производительности системы по сравнению с стандартом де факто однопоточным NIDPS Snort. Результаты показывают, что Snort имеет меньшую нагрузку, чем Suricata и это приводит к меньшему количеству ложных срабатываний при использовании единственного ядра, в исследуемой среде. Однако, Suricata показывает гораздо большую точность в среде, где есть несколько ядер. Suricata показывает масшатабируемость за счет увеличения производительности при работе на четерех ядрах, однако, даже когда Suricata запущена на четерых ядрах, ее способность обработать файл pcap 2Мб еще меньше чем у Snort. В связи с этим, нет никакой выгоды использовать несколько ядер при работе с одним экземпляром Snort. Читать далее…

Snort 2.9.1.2 и Snort Report 1.3.2 на Ubuntu 10.04 LTS руководство по установке

Автор: Дэвид Галлот

Опубликовано: 5 ноября 2022

Версия: 1.0

Авторские права принадлежат Symmetrix Technologies 2022

http://www.symmetrixtech.com

А. Введение

Целью данного документа предоставить пользователю простое руководство по установке для получения Symmetrix Technologies’ Snort Report и запуска c Sourcefire’s Snort предотвращения вторжений и определения на системе Ubuntu Linux. Пожалуйста заметьте что номера пакетов часто меняются и были такими как здесь написано. Читать далее…

FreeBSD IPS со встроенным Snort

Большое количество статей написано о базовой настройке Snort в режиме IDS на различных BSD ОС. Одна особенность, которая обычно не обсуждается возможность Snort для интеграции с IPFW, который позволяет в режиме встроенного IPS на FreeBSD. В данной статье рассматриваются основные конфигурации Snort в режиме IPS на сервере FreeBSD.

Что вы будете знать…
• Как конфигурировать Snort в режиме IPS на сервере FreeBSD.
• Как настроить блокировку злонамеренного трафика в Snort

Что вы должны знать…
• Знакомство с компиляцией и установкой портов FreeBSD
• Базовые знания о инструментах сетевой безопасности, в частности, IDS/IPS
• Знакомство с ipfw Читать далее…