Precisamos configurar um sistema de detecção de intrusão (IDS) em nosso servidor proxy linux. Por favor sugerir sistemas de detecção de intrusão? mais alguma coisa do que Snort?
E ... o snort tem uma boa interface web?
Sua pergunta é bastante ambígua. Eu respondi uma pergunta ambígua semelhante aqui:
O SNORT é praticamente o padrão para o IDS baseado em rede Open Source. A página da Wikipedia lista outras também. Há uma variedade de front-ends para o SNORT. Um Open Source é BASE e Sourcefire , a empresa proprietária da SNORT, vende uma comercial.
Por apenas monitoramento de rede ou intrusão no sistema? Um scanner de integridade de arquivos pode ser benéfico, mas é preciso trabalhar para mantê-lo, já que ele precisa ser atualizado sempre que você atualizar o sistema e precisar de um pouco de ajuste inicial. Consulte a página Open Source Tripwire para obter informações sobre isso.
A Wikipédia também tem alguns links para sistemas IDS .
Eu usei OSSEC HIDS. Basicamente, verifica a integridade do arquivo (/ etc / passwd, ...) e analisa os arquivos de log (syslog, auth.log, ...). Tem interface web utilizável e notificação por email. Mas nada de especial, eu acho.
Atenciosamente,
Martin
Eu não diria nada melhor do que configurações de nível de comando para soluções de segurança para controlar tudo implementado ... embora
para uma GUI para Snort, existe: http: // sguil.sourceforge.net / não sei quão bom você vai encontrá-lo, mas pode dar uma olhada em Scrrenshots @ http: // sguil.sourceforge.net / screenshots.html
diferente do SNORT, o IDS legal é o BRO: link
leia um artigo de pesquisa sobre ele ... tem uma arquitetura agradável e plugável ... funciona bem
O IDS é diferente do IPS ( sistema de proteção contra intrusão ). Por que o requisito do IDS, você planeja denunciar ataques ou criar firewalls para impedir o tráfego de rede sujo?
O Squid e outros proxys podem ser configurados para transferir apenas tráfego limpo ... Há muitos pacotes de dados sujos flutuando na internet, e muitos deles podem ser ignorados.
Snort com uma interface como BASE ou ACID usa muito de ciclos de CPU, RAM e espaço SQL (armazenamento físico). Se você está lidando com um ambiente de nível de produção, o IDS deve ser configurado corretamente ou se torna inútil muito rapidamente.
Se você executar o snort em seu servidor proxy, os bancos de dados e logs não serão mantidos semanalmente, mais cedo ou mais tarde o seu servidor proxy ficará suspenso por falta de recursos.
Portanto, diga que você tem um interesse genuíno no IDS. Você precisará de um servidor sério, dependendo do seu tráfego, para oferecer suporte ao WebGUI do Squid + Snort + Apache + MySQL + PHP.
Uma opção mais desejável seria configurar uma máquina dedicada e uma NIC de monitoração dedicada conectada a uma porta de espelho em seu comutador principal.
Boa sorte, o IDS é mais interessante do que útil.
Confira HoneyPot Project e OSSEC