Linux用のIDS?
Linuxプロキシサーバーに侵入検知システム(IDS)をセットアップする必要があります。侵入検知システムを提案してください? Snort以外のものは?
そして... snortには優れたWebインターフェイスがありますか?
あなたの質問はかなり曖昧です。私はここで同様のあいまいな質問に答えました:
組織のネットワークアーキテクチャにおけるファイアウォール、侵入防止、検出、およびウイルス対策テクノロジーの比較
SNORTは、オープンソースネットワークベースのIDSの事実上の標準です。 ウィキペディアのページ 他の人もリストしています。 SNORTにはさまざまなフロントエンドがあります。オープンソースのものは [〜#〜] base [〜#〜] そして Sourcefire 、SNORTを所有する会社は商用のものを販売しています。
ネットワークの監視やシステムへの侵入だけですか?ファイル整合性スキャナーは有益な場合がありますが、システムを更新するたびに更新する必要があり、初期調整が少し必要になるため、保守には手間がかかります。詳細については、 Open Source Tripwire ページを参照してください。
ウィキペディアにはいくつかの IDSへのリンク システムもあります。
OSSECHIDSを使用しました。基本的に、ファイルの整合性(/ etc/passwd、...)をチェックし、ログファイル(syslog、auth.log、...)を解析します。それは使用可能なウェブインターフェースと電子メール通知を持っています。しかし、特別なことは何もないと思います。
よろしく、
マーティン
実装されているすべてのものを制御するためのセキュリティソリューションのコマンドレベルの設定に勝るものはありません...しかし
snortへのGUIについては、次のようなものがあります:http:// sguil.sourceforge.net /どれだけ良いかわかりませんが、Scrrenshots @ http:// sguil.sourceforge.net/スクリーンショットを見ることができます。 .html
sNORT以外のNiceIDSはBROです: http://www.bro-ids.org/
その上で研究記事を読んでください...素敵なプラグイン可能なアーキテクチャを持っています...うまく機能します
IDSはIPS(侵入防御システム)とは異なります。なぜIDSが必要なのですか、攻撃を報告したり、ファイアウォールを構築してダーティネットワークトラフィックを阻止する予定ですか?
Squidやその他のプロキシは、クリーンなトラフィックのみを転送するように構成できます...インターネット上にはダーティデータのパケットがたくさんあり、それらの割り当ては無視できます。
BASEやACIDのようなインターフェースを使用したSnortは、CPUサイクルの多く、RAMおよびSQLスペース(物理ストレージ)を使用します。本番レベルの環境を扱う場合、IDSは正しく設定しないと、すぐに無意味になります。
プロキシサーバーでsnortを実行すると、データベースとログが週単位で維持されなくなり、プロキシサーバーがリソース不足でハングするようになります。
つまり、IDSに真の関心があるとすると、トラフィックによっては本格的なサーバーが必要になります。Squid+ Snort + Apache + MySQL + PHP WebGUIの両方をサポートするようにしてください。
より望ましいオプションは、専用マシンと専用監視をセットアップすることですNICメインスイッチのミラーポートに接続されています。
幸運を祈ります。IDSは便利というよりも面白いです。
チェックアウトHoneyPot Projectおよび[〜#〜] ossec [〜#〜]