Impacto do Snort em redes
Pessoal gostaria de saber se alguem tem algum PDF ou alguem sabe qual é o impacto do snort em questao da velocidade da rede e o quanto ele consome de processamento?
Falows
Impacto do Snort em redes
Cara estou testando o snort na rede do meu trabalho ... está monitorando umas 5 mil máquinas ... o impacto na rede eh quasse nulo!!!!! já o processamento eh foda! to com uma máquina DELL, com 3GHz de Pentium IV HT e 1 Gb de RAM ... o processamento fica em média em 50~60% ... Ta rodando Banco de dados MySQL + ACID ... se vc num tomar cuidado esse Banco de dados fica com mais de 1 Gb em pouco mais de 5 horas (claro dependendo do número de máquinas!!)!!!!!!!!!!!!!!!!!!!!!!!!!
Mas eh massa!
Valew.
Impacto do Snort em redes
Cara vlw ae pela resposta, quanto ao BD acho que não vou ter muitos problemas pois vai ser mesmo mais pra proteção externa, o maximo de maquinas internas que vai pegar eh umas 300, entao acho que uma maquina mais ou menos leva bem.
vwl ae
Impacto do Snort em redes
Pessaol,
Desculpe a ignorancia, mas qual eh a real funcao do snort??? como ele funciona???
[] Dotta :twisted:
Impacto do Snort em redes
fdotta, Snort é um NIDS (Network Intrusor Detection Systemgoo)... fica o tempo todo monitorando o tráfego da rede ... eh um sniffer mas ele num analisa o conteúdo do pacote como faz o TCPDUMP ou o ethereal .. ele apenas verifica qual a origem e qual o destino da requisição ... dessa forma, tem como se detectar um cliente que esteja fazendo portscan por exemplo ... nas regras do snort ele analisa tudo que possa ser ataque .. e depois gera as estatíticas ...
Visitante, de uma olhada também para o nessus (www.nessus.org)... excelente programa .. eu definiria ele como "O nmap dos infernos!!!!" tem muita regra show de bola ... já se vc quiseer controlar mais o acesso, não de barrar mas sim de analisar vc pode instalar o ossim (ww.ossim.net)... que além do snort, vem também com ntop, que gera um log de tudo que saiu e entrou em cada máquina da rede .. bom o ossim eh uma junção de vários programas ... se vc quiser pode ter tudo separado ou entaum instalá-lo.
Bom, eh isso. Valew
Posta aí os resultados da implementação do seu sistema de segurança.
Impacto do Snort em redes
Dark desculpa era eu o visistante, mas vlw ae pelas dicas esse ossim eu nao conhecia vo testar depois, seguinte darkside vc usa snort com guardian?? sabe se o guardian so funciona com iptables?? ou com outros firewalls tb??
Falows
Impacto do Snort em redes
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Impacto do Snort em redes
Humm como faz pra rodar snort numa eth sem ip?? eu tava prescisando do guardian pra servers que rodam freebsd por isso queria saber se rodava com ipfw.
falows
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Tu so monitora a saida desses 5k caras saindo pra internet apartir do provedor?
Já experimentou fazer o snort analisar trafego entre maquinas de rede-local? :P :P :P ai sim que você vai ver o que é processamento... hehehe :P
Impacto do Snort em redes
somente levantar a eth sem ip mesmo .. depois vc digita o comando:
Código :
usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
que utiliza o user snort, grupo snort, arquivo de configuração snort.conf com a interface eth0. ok??
Valew.
Impacto do Snort em redes
Citação:
Postado originalmente por DropALL
Citação:
Postado originalmente por D4rk_Sl4ck
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Tu so monitora a saida desses 5k caras saindo pra internet apartir do provedor?
Já experimentou fazer o snort analisar trafego entre maquinas de rede-local? :P :P :P ai sim que você vai ver o que é processamento... hehehe :P
tem analise de rede local também!!! e vc num acha um proc a 60% o tempo todo um processamentp alto naum???? :evil:
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
Citação:
Postado originalmente por DropALL
Citação:
Postado originalmente por D4rk_Sl4ck
cara, num uso o guardian pq num posso ... o trabalho aqui eh: quando surgir o alerta, devo entrar em contato com o cliente ..
como trabalho num provedor se o cliente ficar sem acesso, mesmo que seja por pouco tempo vai rolar uma tremenda enchessão de saco. por conta disso o ACID é tão importante pra mim. tem um top 15 lah e esses sempre são clientes problemáticos. então quando surge um alerta reportado no ACID já tem aquela ligação.
agora assim, vc pretende usar o iptables no teu server com snort ou vc pergunta em relação à algum cliente??? pq asism, eu sugiro vc colocar o snort para rodar em uma interface eth que não pegue ip, para num ter perigo que ela seja hackeada de qualquer forma que seja.
Tu so monitora a saida desses 5k caras saindo pra internet apartir do provedor?
Já experimentou fazer o snort analisar trafego entre maquinas de rede-local? :P :P :P ai sim que você vai ver o que é processamento... hehehe :P
tem analise de rede local também!!! e vc num acha um proc a 60% o tempo todo um processamentp alto naum???? :evil:
:P
Voce tah analisando todo do trafego local entre as 5k maquinas?
maquina 1, fala com a maquina 3910, a maquina 3710 fala com a 4999? tudo isso estah sendo logado, se sim...a resposta é: sim, acho 60% muito pouco para essa maquina :P
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
somente levantar a eth sem ip mesmo .. depois vc digita o comando:
Código :
usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
que utiliza o user snort, grupo snort, arquivo de configuração snort.conf com a interface eth0. ok??
Valew.
Nesse seu caso a eht0 ta sem ip?? entao teria que ter uma placa de rede sem ip so para o snort?
Falows
Impacto do Snort em redes
Citação:
Postado originalmente por ruyneto
Citação:
Postado originalmente por D4rk_Sl4ck
somente levantar a eth sem ip mesmo .. depois vc digita o comando:
Código :
usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
que utiliza o user snort, grupo snort, arquivo de configuração snort.conf com a interface eth0. ok??
Valew.
Nesse seu caso a eht0 ta sem ip?? entao teria que ter uma placa de rede sem ip so para o snort?
Falows
Cara eu tava pensando em segmentar mais ainda .. uma eth pra rede interna .. outra para rede externa com um determinado serviço .. outra eth pra rede externa com outro tipo de serviço ... e de preferencia cada uma delas sem ip e uma quarta eth com ip ... mas estou vendo se rola ou não ... mas do jeito que está rodando hj está assim, eth0 sem ip monitorando e eth1 com ip para rodar http e outros seviços.
Impacto do Snort em redes
Po legal nao sabia desse truque, vo testar depois, acho que a unica coisa que falta pra mim eh ver se o guardian trabalha com ipfw ae fecho, vlw ae pela ajuda
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
fdotta, Snort é um NIDS (Network Intrusor Detection Systemgoo)... fica o tempo todo monitorando o tráfego da rede ... eh um sniffer mas ele num analisa o conteúdo do pacote como faz o TCPDUMP ou o ethereal .. ele apenas verifica qual a origem e qual o destino da requisição ... dessa forma, tem como se detectar um cliente que esteja fazendo portscan por exemplo ... nas regras do snort ele analisa tudo que possa ser ataque .. e depois gera as estatíticas ...
Visitante, de uma olhada também para o nessus (
www.nessus.org)... excelente programa .. eu definiria ele como "O nmap dos infernos!!!!" tem muita regra show de bola ... já se vc quiseer controlar mais o acesso, não de barrar mas sim de analisar vc pode instalar o ossim (ww.ossim.net)... que além do snort, vem também com ntop, que gera um log de tudo que saiu e entrou em cada máquina da rede .. bom o ossim eh uma junção de vários programas ... se vc quiser pode ter tudo separado ou entaum instalá-lo.
Bom, eh isso. Valew
Posta aí os resultados da implementação do seu sistema de segurança.
Valeu... o Nessus eu conheco e uso sempre... o nmap + nessus + iptfraf... nao passa nada pela minha rede q eu nao saiba!!!... so nunca useei o snort por isso q nao sabia a real utilidade dele!!!!
[] Dotta
Impacto do Snort em redes
ok ruyneto ... Se der certo manda o resultado ai pra gente!!! Valew e boa sorte!!
Impacto do Snort em redes
Bom pessoal o snort ja ta instalado, mas contando com a boa ajuda de voces gostaria de saber o que é bom mudar no snort.conf para ele nao gerar muitos alertas falso-positivo e como faço para controlar o tamanho do log no BD e no /var/log. Queria saber tb como funciona o negocio do home_net e do external_net.
vlw e falows
Impacto do Snort em redes
Alguem pra ajudar ae
falows
Impacto do Snort em redes
Citação:
Postado originalmente por ruyneto
Bom pessoal o snort ja ta instalado, mas contando com a boa ajuda de voces gostaria de saber o que é bom mudar no snort.conf para ele nao gerar muitos alertas falso-positivo e como faço para controlar o tamanho do log no BD e no /var/log. Queria saber tb como funciona o negocio do home_net e do external_net.
vlw e falows
Bom pessoal as perguntas ae de cima continuam valendo e tenho 2 novas, seguinte, apos instalar no serviço e funcionar ok, fui instalar no SuSE aqui em casa, seguinte ele instala e roda dizendo que ta ok, mas nao loga nada, nem no banco de dados, nem no arquivo de logs, no arquivo de logs desconfio que é pq to usando syslog-ng, alguem sabe como fazer ele logar com syslog-ng, e o que pode ser pq ele nao ta logando no bd tb?? vlw ae.
falows
Impacto do Snort em redes
Pelo menos os logs do nsort, alguem sabe como controlar o tamanho??
falows
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
fdotta, Snort é um NIDS (Network Intrusor Detection Systemgoo)... fica o tempo todo monitorando o tráfego da rede ... eh um sniffer mas ele num analisa o conteúdo do pacote como faz o TCPDUMP ou o ethereal .. ele apenas verifica qual a origem e qual o destino da requisição ... dessa forma, tem como se detectar um cliente que esteja fazendo portscan por exemplo ... nas regras do snort ele analisa tudo que possa ser ataque .. e depois gera as estatíticas ...
Visitante, de uma olhada também para o nessus (
www.nessus.org)... excelente programa .. eu definiria ele como "O nmap dos infernos!!!!" tem muita regra show de bola ... já se vc quiseer controlar mais o acesso, não de barrar mas sim de analisar vc pode instalar o ossim (ww.ossim.net)... que além do snort, vem também com ntop, que gera um log de tudo que saiu e entrou em cada máquina da rede .. bom o ossim eh uma junção de vários programas ... se vc quiser pode ter tudo separado ou entaum instalá-lo.
Bom, eh isso. Valew
Posta aí os resultados da implementação do seu sistema de segurança.
:help: :good: :good:
Impacto do Snort em redes
Citação:
Postado originalmente por D4rk_Sl4ck
fdotta, Snort é um NIDS (Network Intrusor Detection Systemgoo)... fica o tempo todo monitorando o tráfego da rede ... eh um sniffer mas ele num analisa o conteúdo do pacote como faz o TCPDUMP ou o ethereal .. ele apenas verifica qual a origem e qual o destino da requisição ... dessa forma, tem como se detectar um cliente que esteja fazendo portscan por exemplo ... nas regras do snort ele analisa tudo que possa ser ataque .. e depois gera as estatíticas ...
Visitante, de uma olhada também para o nessus (
www.nessus.org)... excelente programa .. eu definiria ele como "O nmap dos infernos!!!!" tem muita regra show de bola ... já se vc quiseer controlar mais o acesso, não de barrar mas sim de analisar vc pode instalar o ossim (ww.ossim.net)... que além do snort, vem também com ntop, que gera um log de tudo que saiu e entrou em cada máquina da rede .. bom o ossim eh uma junção de vários programas ... se vc quiser pode ter tudo separado ou entaum instalá-lo.
Bom, eh isso. Valew
Posta aí os resultados da implementação do seu sistema de segurança.
Impacto do Snort em redes
Só acrescentando aos colegas que devemos utilizar um placa de rede de excelente performance com capacidade de resposta e buffer consideraveis para não haver condições de falsos negativos.
Em sites muito grandes sou a favor de appliances dedicados para isso.
A soucefire é um exemplo típico.