Impacto do Snort em redes
Citação:
Postado originalmente por DropALL
Citação:
Postado originalmente por D4rk_Sl4ck
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Tu so monitora a saida desses 5k caras saindo pra internet apartir do provedor?
Já experimentou fazer o snort analisar trafego entre maquinas de rede-local? :P :P :P ai sim que você vai ver o que é processamento... hehehe :P
tem analise de rede local também!!! e vc num acha um proc a 60% o tempo todo um processamentp alto naum???? :evil:
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
Citação:
Postado originalmente por DropALL
Citação:
Postado originalmente por D4rk_Sl4ck
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Tu so monitora a saida desses 5k caras saindo pra internet apartir do provedor?
Já experimentou fazer o snort analisar trafego entre maquinas de rede-local? :P :P :P ai sim que você vai ver o que é processamento... hehehe :P
tem analise de rede local também!!! e vc num acha um proc a 60% o tempo todo um processamentp alto naum???? :evil:
:P
Voce tah analisando todo do trafego local entre as 5k maquinas?
maquina 1, fala com a maquina 3910, a maquina 3710 fala com a 4999? tudo isso estah sendo logado, se sim...a resposta é: sim, acho 60% muito pouco para essa maquina :P
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
somente levantar a eth sem ip mesmo .. depois vc digita o comando:
Código :
usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
que utiliza o user snort, grupo snort, arquivo de configuração snort.conf com a interface eth0. ok??
Valew.
Nesse seu caso a eht0 ta sem ip?? entao teria que ter uma placa de rede sem ip so para o snort?
Falows
Impacto do Snort em redes
Citação:
Postado originalmente por ruyneto
Citação:
Postado originalmente por D4rk_Sl4ck
somente levantar a eth sem ip mesmo .. depois vc digita o comando:
Código :
usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
que utiliza o user snort, grupo snort, arquivo de configuração snort.conf com a interface eth0. ok??
Valew.
Nesse seu caso a eht0 ta sem ip?? entao teria que ter uma placa de rede sem ip so para o snort?
Falows
Cara eu tava pensando em segmentar mais ainda .. uma eth pra rede interna .. outra para rede externa com um determinado serviço .. outra eth pra rede externa com outro tipo de serviço ... e de preferencia cada uma delas sem ip e uma quarta eth com ip ... mas estou vendo se rola ou não ... mas do jeito que está rodando hj está assim, eth0 sem ip monitorando e eth1 com ip para rodar http e outros seviços.
Impacto do Snort em redes
Po legal nao sabia desse truque, vo testar depois, acho que a unica coisa que falta pra mim eh ver se o guardian trabalha com ipfw ae fecho, vlw ae pela ajuda