Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal,
    Estou inicando um projeto para instalação do snort aqui na empresa, logo gostaria de discutir com vocês algumas questões:
    LI que em um IDS existem os sensores, as bases de dados (guardam os logs), máquina de reação e máquina de análise.

    - A entrada da minha rede, hoje é por um ccto dedicado da telemar. Ele é ligado em uma máquina com duas placas de rede e o iptables roteado as interfaces.
    Posso instalar o sensor e a máquina de reação nessa máquina ???
    - Vamos adicionar um links adsl de 1mb da telemar para faze VPN com nossos outros pontos, estou pensando em adicionar mais uma placa de rede na máquina acima para receber esse link.
    O que acham ???
    - Se eu quiser criar uma DMZ , eu posso adicioanr mais uma placa de rede no servidor e ligá-la a ela ???

    A máquina de análise e de banco de dados fica dentro de minha rede.

    O que acham ???

  2. A maquina de banco de dados, pode ficar do lado de dentro da sua rede ou da sua DMZ sem problemas o que deve ser levado em conta é o trafego que sera gerado entre o seu IDS o BD, eu considero uma boa tatica deixa 1 banco de dados local mysql e fazer o dump dele de tempos em tempos a cada 1 hora com o diferencia e mandar para 1 maquina interna.

    Com relação a maquina que toma a providencia de bloquear, ja vi implementações de snort em pontes feitas em linux onde literalmente não ha o que atacar nessa ponte nao existe ip os pacotes somente passam por ela e nessa sim é possivel implementar o filtro de pacotes (iptables ipf pf ) para dropar conexoes que foram pegas no (IDS).



  3. Se eu deixar o BD na máquina local e enviá-lo a cada hora para o meu servidor interno, eu não terei os dados online !!!!

    Como é essa implementação de ponte, sem IP ???

  4. funciona assim:

    entre o seu router,cable modem, fica 1 maquina com 2 placas de rede eth0,eth1 com suporte a forward ativo.

    para construir a ponte http://www.htmlstaff.org/guiafoca/av...ch-cfgrede.htm

    DEPOIS disso voce pode deixar 1 script em php perl rodando consultando o banco de dados ou voce pode deixar a maquina que detecta os pacotes enviando comando remotos na brigth iptables -I FORWARD -s ip_bloqueado -DROP
    ("rexec").
    Voce tem 1 maquina que bloqueia os pacotes porem ela nao tem ip ela somente avalia se o pacote que ta passando pode passar.



  5. #5
    rmars
    A ponte funcionaria com um "fio inteligente", que determina o que pode e o que não pode passar, e ficaria entre o router e a maquina de entrada da tua rede.

    Poderia te dar uma idéia de uma 3st placa de rede na bridge, essa sim, com um ip inválido, permitindo o acesso somente da rede interna, uma rede separada, somente para a consulta dos logs e tal, mas não sei se é recomendável....

    Prossigamos a discussão

    :good:






Tópicos Similares

  1. Respostas: 3
    Último Post: 23-10-2014, 20:59
  2. Respostas: 6
    Último Post: 12-09-2007, 12:33
  3. Duas placas de rede com IP´s válidos
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 19-12-2003, 08:31
  4. Monitoramento de rede com gráfico????
    Por c4f0f0 no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-11-2003, 07:55
  5. Configuração de rede com LDAP ?
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 13-06-2003, 10:08

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L