Fórumok
Sziasztok!
Szeretnék beüzemelni egy free IDS rendszert, viszont még nincs vele tapasztalatom, amiket találtam:
suricata
snort
OSSEC HIDS
Elvileg ezek a legnépszerűbbek. Valakinek tapasztalata bármelyik IDS szoftvert illetően?
Fontos dolgok:
Legyen valami grafikus kimenet, amin látható minden esemény. (elvileg a Logstash + Kibana kombináció megoldható mind a három esetén)
Fontos, hogy nem csak oprendszereket/alkalmazásokat szeretnék figyelni, hanem hálózati eszközöket is, pl.: ASA
köszönöm
MEGOLDVA
Végül az OSSEC-et választottam, agent, agentless, log, stb... feldolgozásra, már tesztelem egy ideje és elég jónak tűnik.
Köszi mindenkinek
Hozzászólások
Tudsz figyelni mindent csak legyenek hozzá pattern-ek.
Intelligens switch-ed van? Sorba vagy párhuzamosan akarod kötni?
Mondjuk eleve hülye kérdés mert kezdőként nem kötheted csak párhuzamosan, tehát kivédeni nem fogsz tudni semmit, csak követni az eseményeket.
Szóval intelligens switch-ed van?
Mondjuk eleve hülye kérdés mert kezdőként nem kötheted csak párhuzamosan, tehát kivédeni nem fogsz tudni semmit, csak követni az eseményeket.
ez igaz, bar mondjuk egy "recommended" szabalygyujtemennyel el lehet indulni (nem tudjuk, milyen jellegu kornyezetbe kell a cucc), aztan menet kozben finomitani, ha szukseges. Tudtommal a snort (miota) kereskedelmi termek (verzioban is elerheto), elerheto konzultacios, telepitos szolgaltatas is (de gondolom, ez a tobbire is igaz). Aztan ha beteszik, akkor nyilvan az elejen masszivan figyelni kell es finomhangolni...
--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)
Feliratkozom.
Ezt felejtsd el:
"Legyen valami grafikus kimenet, amin látható minden esemény."
Ha nem túl népszerűek a szolgáltatásaid akkor is napi tízezrével nézhetnéd a blokkolt kéréseket.
Legyen elég napi összesítő, elég az is.
Ezek mind jók, de vagy a központi átjárón ellenőrzöd a forgalmat ami combos gépet igényel vagy az alkalmazás/stb szolgáltatásokat futtatót szervereken.
A központi logolás hasznos hozzá, de oda is kell majd vas.
A kivétellistákkal sok erőforrást lehet majd spórolni az erőforrásokon.
szia,
Első körben csak a központi átjárót/tűzfalat szeretném rákötni. Régebben a logolást (hálózati eszközökön) már kikötöttem egy syslog-ng futtató szerverre. Erőforrásban nem használt túl sokat, igazából diszk volt a kérdéses, de ez csak sima logolás volt, ezt nem dolgoztattam fel semmivel. Fentebb említetted, hogy elég nehéz feldolgoztatni a logot, de amiket a neten találtam, ott óránkénti lebontásban voltak kivezetve, emészthető formában. Elméletileg az ELK kombináció megoldja az erőforrás gazdálkodást, ezalatt azt értem, hogy az elasticsearch elvileg indexel. Láttam már sok szerveres ELK megvalósítást, és ott is a diszk volt a szűk keresztmetszet.
Ha központi akkor vegyetek/használjatok egy utm eszközt. Azokban már benne van és mindent tud ami kell.
Csak épp elő kell fizetni a frissítésekre mert a nélkül semmit nem ér az egész. De alapvetően igen, ez lenne a legegyszerűbb és legjobb.
Ha viszont játszani akar akkor mirror a port-ra rákötve "out of band" és játszhat kedvére első fázisban.
Természetesen a legjobb megoldás:
vagy egy új eszköz, vagy egy IPS modul a tűzfalba
Viszont, mint tudjuk mindig a legolcsóbb megoldás kell:(
Ilyenből is van olcsó, legolcsóbb is, de eszköz is kell hozzá és ha már eszközt is kell venni és nem kukázni akkor egy XX utm gazdaságos és jó megoldás tud lenni.
Milyen a központi eszköz amibe illesztenéd?
Tavaly nyár óta üztemeltetek kisérleti jelleggel, egy suricata-t. A teljes kimenő, bemenő csomagjainkra, ami kb ~300e pps és olyan 1.5gbit is lehet. A suricata jelenleg egy 4 socketes gépen fut, a CPU intel X7642es, van benne még 128G ram és broadcom 10GbE ethernet. Load alig valami 2-3. Előtte egy dual X5670 cpu-s gépen futott intel 10GbE csatoloval, de ott a load felment 40-50-re is. Viszont a 2 cpus gép beérte 300W al, a 4cpus olyan 1kW-ot eszik :/
A van hozzá egy "logszerver" ami logstash + kibana kombo. Ez egy 8 magos opteronon, 4x2T RE disk, raid10 ben, valamint csak 16G ram. Ez még a központi logszerver is syslog-ng helyett.
Mivel ekkora forgalomnál nagyon nagyon sok IDS log keletkezett, kénytelen voltam jó pár signiture-t kizárni. Valamint a suricata logok csak 1 hétig maradnak meg, utána törlöm őket. Ez a konfig már milliárd feletti documentumoknál kezdett nagyon használhatatlan lenni.
Fedora 21, Thinkpad x220
+sub
Gúgölnél dolgozol v. hol?? :)
--
WP8.x kritika: http://goo.gl/udShvC
Hát, én most valami olyat szeretnék, hogy nem egy eszközön menne át a forgalom, hanem az eszközök küldenék rá a logot, amit feldolgoz. Most az ossec irányába mennék el, mert annak a doksi szerint van syslog funkciója illetve agent funkciója. Tehát erőforrás tekintetében nem kell áthúzni a teljes forgalmat az ids szerveren.
illetve támogatja azokat az eszközöket amiket használnék syslog szinten
Be kell vetni CUDA-t is a számításba :D
Egyébként amikor én suricataztam anno, rengeteget tudtam húzni performanciában alaposan letesztelt konfiggal.
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
uitt megkérdezném, hogyha folyamatos traffic flow adatokat gyűjtök, utólagos (az elmúlt 5-10-15 perc) feldolgozása, és abból ismert "érdekes" patternek alapján riasztásra, ill. DDoS v flood jellegű támadás felismerésére ki milyen megoldást tudna javasolni?
SIEM: pl AlienVault.