SNORT как сервисная IPS

[@bondbig]

Чем отличается SNORT от SourceFire?

[@sandman]

Snort® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire.

[@bondbig]

Это мне известно )
Собственно, вопрос поэтому и возникает. SourceFire продает ынтырпрайзные железки за многаденег под своим брендом. Хочется понять разницу на функциональном уровне.

[@sandman]

В этом документе на 4й странице уютная сравнительная таблица есть: www.computerlinks.sg/FMS/3403.snort_intrusion_agent_factsheet.pdf

[@TycoooN]

Извините за занудство, но перед словом «как» не всегда ставится запятая, и в заголовке данного поста она не нужна.

[@sandman]

ок

[@ohm]

Расскажите, пожалуйста, можно ли использовать snort для обнаружения Ddos-атак без декодирования пакетов? Насколько эффективны правила вида:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold:
type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

[@bondbig]

Снорт? Для отражения DDoS? Да вы чего??

[@t0os]

для обнаружения

[@sandman]

Технически можно — обнаружить вы скорее всего успеете. Но смысла нет, так же легко констатировать ддос можно, обнаружив падение сервиса. Смысл обнаружения и наблюдения DDOS в том, чтоб можно было оценивать эффективность принимаемых мер, то есть сама система наблюдения за DDOS должна быть уязвима в гораздо меньшей степени. В описанном случае лучшим источником по которым следует наблюдать ddos являются счётчики на активном сетевом оборудовании.

Snort это, конечно, очень гибкий инструмент, но нацелен он на обнаружение\предотвращение вторжений.

[@vasilisc]

в системах с пакетным менеджментом… нужно по аккуратнее с make install.
в идеале, забыть про make install

правильный вариант сделать пакет и установить его
sudo auto-apt update && auto-apt -y run ./configure
checkinstall -D
sudo dpkg -i ваш_пакет.deb

Установка пакетов по запросу
www.debian.org/doc/manuals/apt-howto/ch-search.ru.html

Как правильно компилировать
vasilisc.com/tips_ubuntu#right_compile

[@sandman]

Спасибо, интересно.
А что именно make install может поломать? Какие косяки могут быть результатом make install и как с ними бороться?

[@vasilisc]

make install ставит в обход системы управления пакетов, может установить в не принятые в данном дистрибутиве пути.

установленная программа в системе никак «не зарегестрирована».
нельзя штатно обновить/удалить программу и тд и тп
в системах с пакетным менеджментом нужно всячески стремится использовать пакеты
1) лучше в репозиториях
2) хотя бы из одиночных пакетов
3) создавать пакеты из исходников и делится ими, чтобы не «опять-двадцать-пять»

[@ekungurov]

Если делаете 'make install' на пакетном дистрибутиве, вызывайте как минимум:
configure --prefix=/usr/local

[@ekungurov]

checkinstall — это тоже quick&dirty хак. Если совсем по фен-шую, то нужно собирать пакеты с помощью debuild и майнтейнить собственный PPA.

[@partizannn]

Ну а чем вам анализатор снорта snorby.org не понравился? По сравнению с тем же (BASE, ACID…) он выгодно отличается в лучшую сторону. Намного лучшую)

[@sandman]

Я 2 дня пытался его запустить, но драйвер для связи с субд работать так и не начал. И ruby я не знаю.

[@partizannn]

Я установил все из пакета (который предложил разработчик) и все отлично заработало. Все логи складываются в MySQL базу плюс после небольшого «шаманства» в эту же базу складываются и логи с удаленных сенсоров. ruby я тоже не знаю…

[@sandman]

Я ставил на postgres.

[@gmlexx]

Кстати, есть неплохая альтернатива
Тут можно посмотреть сравнение

[@Ozamodaz]

Позвольте поинтересоваться, что вы искали по запросу «kiss my babushka» или это чисто пасхальное яйцо?

[@vah_13]

А как вы думаете — удобно анализировать ( правилами ) TCP трафик в или например HTTP. Как я понял препроцессоры могут переводить TCP в HTTP, или я что то путаю? На каком уровне рекомендуется анализировать. Спасибо