+ Responder ao Tópico



  1. #1

    Padrão OSSEC opniões de quem já usou ou usa

    Boa tarde galera, estou querendo implentar o OSSEC aqui no meu ambiente de serviço, só que gostaria da opnião de quem já usou, ele para poder compartilhar experiencia.
    O meu cenario seria 2 firewalls, firewall principal e dmz, então gostaria de implementar ele no firewall principal que é por onde todo o meu trafego roda, e onde está centralizado o squid, então as minhas duvidas são, ele consome muito processamento, ele é bom, em relação a analise de logs, do tipo fora e dentro da minha rede, identifacação de Trojans, worm's, Brute force, gostaria de quem usa comenta-se a experiencia. ae para que eu e outras pessoal possam ficar mais a parte de sistema.

    Agradeço a colaboração de todos.

  2. #2

    Padrão

    processamento = perto de 0%
    memoria = alguns miseros kb

    qto a analise de logs tudo depende das regras que vc cria, eles vem com algumas regras default jah suficiente para a maioria das redes.
    ele tb trabalha no metodo cliente - servidor, onde os clientes enviam para o servidor analisar os logs, entao vc pode colocar em todas as suas máquinas.

    resumindo... totalmente compensatorio.



  3. #3

    Padrão

    quer dizer então Iceman posso ter ele instalado em varios servidores como cliente e deixa 1 servidor com modo servidor para ele anailisar os logs e me enviar relatório sobre os analises.

  4. #4

    Padrão

    mais ou menos, vc pode ter a estrutura de 1 server analisando log de todo mundo sim, mas relatorio ele nao faz sozinho, vc precisa fazer, pra isso tem um beta da ossec-wui, interface web pra analise
    automatico ele faz bloqueios e envio de alertas via email de acordo com o lvl de criticidade do log



  5. #5

    Padrão

    mas no caso não to muito affim, da interface web e sim, dos avisos de tentativa de Intrusion, que ele manda via e-mail, entende, para isso é só instalar ele padrão mesmo.