IDS pro 1Gbps

Jan Dusatko jan at dusatko.org
Tue May 6 00:23:19 CEST 2008


> Ahoj,
> potrebuji nasadit nejaky rozumny IDS a nejak omezit pripadne DDoS
> utoky. Servery mam pripojene do 1Gbps topologie a nerad bych, aby IDS
> nejak vyrazne zpomaloval.
> Prvni cesta vedla k Snortu, pak jsem nasel jak to resi na CVUT a
> Cesnetu (LaBrea) a ted premyslim kterou cestou se dat.
> Proto se chci zeptat, jestli tu nekdo ma konkretni zkusenosti s
> podobnymi systemy na gigabitu a pripadne mi doporucil nejaky sizing
> (pocitam ze klasicka soucasna intel platforma by ulohu bez potizi
> zvladla).
> Dik za tipy.
> Ondra

Zkousel jsem si trochu v této oblasti hrat. Není to ale uplne odpoved na
tvoji otazku, kazdopadne je to také cesta. Skoncil jsem u kombinace
Prelude+OSSEC+Snort+Nessus. Nessus(vulnerability scanner) mi jednou mesicne
z jednoho stroje scanuje systemy, report z nej je importovan do Prelude.
OSSEC (HIDS) mi bezi na všech systemech a monitoruje veskere nestandardni
situace, Snort(snifer) odchytava na kritickych mistech nesifrovanou
komunikace, Prelude na jednom stroji mi to zastresuje. Každý z těchto
systemu dokaze sam přes ssh a scripty modifikovat pravidla FW.
Jak jsem se dival na LaBreu, je to něco co mi tam ješte chybi. Ale proste
nic není dokonale ....

Honza 

P.S.: Diky za inspiraci ...




More information about the Users-l mailing list