nagios és IPS/IDS egy gépen lehet, nem javasolt vagy tilos?

 ( render_elek | 2016. augusztus 8., hétfő - 11:49 )

Sziasztok,

Van 1 új gépünk erre a célra. Elvileg a nagiosnak bent illik lenni, a snort-féléknek megy az egyik lábnak bent, a másiknak kint. Ebből az ábrából indultam ki: Gondolom, ha HUB helyett sw-t használnék, akkor tükrözni kell a portokat.

Tehát a kérdés annyi, hogy mehet
a, egy gépen 1 oprendszer alatt vagy
b, egy gépen virtualizálva 2 oprendszert vagy
c, egyéb.

Segítő válaszokat előre is köszönöm!!!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Én a B megoldást ajánlom (bár az A is ok szerintem), egyszerűbb lesz/lehet a jövőben, ha növekszik a hálózatod. Persze több erőforrás.

FathoM

Virtualizacio vagy docker (hostdir volume-okkal, hogy konnyebb legyen a mantes stb, kiveve ha docker volume-okat hasznalsz raw lvm-el :D), ahogy elottem is irtak.

Hálás köszönet!

még eszembe jutott hogy piler is lesz rajta és mivel az a gép kicsinyke (t20) valszeg docker lesz belőle.
Csak abban még semmi tapasztalatom, azért remélem sikerül megoldanom...

ha ips alatt egy olyan gepet ertunk, aminek egyik laba a kulvilag fele nez, a masik meg a belso halora, es ennek a gepnek meg kene fogni az attakokat, akkor en sem nagios-t, sem piler-t nem tennek ra, hanem dedikaltan ips/ids lenne. A piler meg menne egy masik dobozra, akar virtualizalva, akar kontenerizalva...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Hát igen, de az ips külső lába nem kap IP-t, ezért sztem nem "olyan" veszélyes..

Az általad javasolt másik doboz pedig csak egy kiselejtezett thinkcentre a57 lehetne (azzal főzhetek, ami van), ami ellentmond az előadásodban hallottakkal, hogy ne kikukázott gépet használjon a piler.
Talán a DC-n szoríthatnék neki egy kis helyet konténerben, de az nagyon messze lesz az általad javasolt min. 1 TB-tól, ráadásul csak munkaidőben megy.
Vagy az IPS legyen kukázott gépből? Annak kisebb az erőforrás-igénye?

azzal főzhetek, ami van

akkor ez van, ezt kell szeretni. Az 1 TB-t ugy ertettem, hogy azzal mar el lehet indulni egy magyar kkv eseten. De ez erosen fugg attol, hogy hany levelet kell archivalni. Az ips eroforras igenyes szokott lenni (foleg cpu es net), de ez is a forgalomtol fugg. Az ips gyartojanak is bizonyara van egy system requirements oldala, amit erdemes megszivlelni.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Hát nem ide tartozik, de ha már te válaszolgatsz... szóval megpróbáltam a "kulcsrakész" pilert felrakni (egyenlőre csak tesz jelleggel) a kiszuperált a57-re, leszedem a vmware-t, feltelepítem; majd leszedem az 1.1 GB ova-t, beimportálom, indítanám és kiderül, hogy nincs VT-x a prociban :D

nem probaltam, de akar a virtualbox-nak is meg kene enni azt az ova-t.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)