Desenho de Rede com Snort: Qual o melhor modelo ???
Olá pessoal,
Estou inicando um projeto para instalação do snort aqui na empresa, logo gostaria de discutir com vocês algumas questões:
LI que em um IDS existem os sensores, as bases de dados (guardam os logs), máquina de reação e máquina de análise.
- A entrada da minha rede, hoje é por um ccto dedicado da telemar. Ele é ligado em uma máquina com duas placas de rede e o iptables roteado as interfaces.
Posso instalar o sensor e a máquina de reação nessa máquina ???
- Vamos adicionar um links adsl de 1mb da telemar para faze VPN com nossos outros pontos, estou pensando em adicionar mais uma placa de rede na máquina acima para receber esse link.
O que acham ???
- Se eu quiser criar uma DMZ , eu posso adicioanr mais uma placa de rede no servidor e ligá-la a ela ???
A máquina de análise e de banco de dados fica dentro de minha rede.
O que acham ???
Desenho de Rede com Snort: Qual o melhor modelo ???
Se eu deixar o BD na máquina local e enviá-lo a cada hora para o meu servidor interno, eu não terei os dados online !!!!
Como é essa implementação de ponte, sem IP ???
Desenho de Rede com Snort: Qual o melhor modelo ???
A ponte funcionaria com um "fio inteligente", que determina o que pode e o que não pode passar, e ficaria entre o router e a maquina de entrada da tua rede.
Poderia te dar uma idéia de uma 3st placa de rede na bridge, essa sim, com um ip inválido, permitindo o acesso somente da rede interna, uma rede separada, somente para a consulta dos logs e tal, mas não sei se é recomendável....
Prossigamos a discussão
:good:
Desenho de Rede com Snort: Qual o melhor modelo ???
Você poderia me mandar o script recall.php ??
[email protected]
Grato.
Desenho de Rede com Snort: Qual o melhor modelo ???
Viva colega, aqui na empresa eu tenho o seguinte esquema, temos um firewall OpenBSD ligado ao link da Internet, seguido do firewall, tenho uma maquina com Linux + Iptables a funcar como bridge (ponte), nessa maquina eu instalei o snort tb, ela n tem IP, todos os pakotes passam por ela, e lá fica tudo logado :) assim mesmo que um dia toda a minha rede seja comprometida, esta maquina nc poderá ser comprometida pois na verdade a unica maneira de a comprometer é mesmo fisicamente, o que tb se torna dificil, além desta maquina, uns tempos depois coloquei tb um velho servidor web, onde reinstalei tudo de novo e fiz um log server, a unica coisa que corre nele é o syslogd, as outras maquinas da rede, estão a mandar todos os logs para ele via syslog remoto, usando o stunnel para manter a intigridade dos logs..
esta é a politica que eu estou a usar, e realmente até hoje está impecável :)
tb já ouvi falar num projecto "snort center" experimente ele ;)