monitorando uma rede para spammers / webscripts que ficaram ruins

2

Vou reservar algum espaço IP para que alguém possa usá-lo como espaço co-lo e hospedagem dedicada. A rede terá seu próprio roteador cisco e vários switches gerenciados L2 que eu administrarei para que o espelhamento e sniffing de portas não seja um problema.

Eu estou procurando por alguma forma, fora do snort, para monitorar spammers de saída e atividades de bandidos como scripts PHP maliciosos ou hackeados, juntamente com coisas ilegais que eu não quero chegar perto. Tenho soluções para alguns desses problemas em redes diferentes, mas preciso ser muito proativo nessa rede. Não é possível da minha parte auditar o software em todos os servidores, apesar de estarmos investigando a rede com frequência. Além disso, é possível que esses hosts enviem alguns emails para fora.

Alguém tem alguma solução de código aberto para problemas como este que eles recomendariam?

Provavelmente vou acabar dando a esta rede seu próprio servidor smtp com detecção de spam e antivírus e, em seguida, desautorize o smtp de saída nessa rede para qualquer coisa que não seja o nosso servidor.

    
por Adeodatus 16.04.2011 / 03:15

1 resposta

1

Minha melhor sugestão para você é configurar algum tipo de IDS (como Snort ), possivelmente em combinação com um exportador Netflow e ferramentas trituradoras como ferramentas de fluxo e / ou JKFlow . Isso permitirá que você analise atividades em sua rede e detecte eventos "incomuns" ou "suspeitos".

A chave aqui é determinar o que é "normal" versus "anormal" para o seu ambiente a longo prazo, assim todos os alertas que você receber serão significativos. Se o seu sistema de monitoramento emitir constantemente falsos alarmes, você acabará por ficar dessensibilizado e perderá um problema real.

    
por 24.05.2011 / 17:08