» Intrusion Detection/Prevention System - IDS/IPS

В данном топе обсуждается наиболее распространненные IDS/IPS системы.
Их основные принципы работы, виды, методики.

(aka Системы Обнаружения и Предотврещения Вторжений):

Advanced Net Tools (ANT)
http://www.dreamsyssoft.com/advanced-net-tools/
Atelier Web Security Port Scanner (AWSPS)
http://www.atelierweb.com/pscan/index.htm
fragrouter
http://www.anzen.com/research/nidsbench/
IDS Policy Manager
http://www.activeworx.com
Snort
http://www.snort.org
http://snort.sourceforge.net
www.whitehats.com --- рекомендую посетить

Главный акцент делается на IDS SNORT

База данных по типам уязвимостей

Почему именно SNORT ?
наиболее распространен
интенсивно (! ! !) развивается
бесплатен
прост и гибок в освоении

LINKS :
Установка и Конфигурирование SNORT
Обнаружение сетевых атак - Snort
SnortSam - инструмент для связки с firewalls
Home page одного из участников проекта Danyliw Roman
book Snort 2.1 Intrusion Detection ---- в ПМ
Приёмы обхода правил IDS Snort
Многоуровневые системы обнаружения вторжения
Intrusion Detection Systems (IDS) на citforum
Свободно распространяемые средства защиты: шанс или казус?
Snort - неплохая подборка документов
Перевод на русский язык Snort FAQ


Дружественные темы :
Sawmill - инструмент для анализа лог-файлов
Проверка целостности файлов - Host IDS (HIDS)
использование SNORT на WIN платформе
Кто-нибудь сталкивался с анализом Snort'овских логов?
Snort
Suricata IDS/IPS

Мне понравилась Snort (http://www.snort.org/). Особенно это её бесплатность и то что она под Windows NT работает. Имеет кучу расширений и может сливать события в MySQL

IMHO oni vse syrye i propuskajut prostejshije ataki. Nado zhdat' poka ih do uma dovedut.

Review 8-i IDS: http://www.nwfusion.com/techinsider/2002/0624security1.html

Смотря куда .... если на юниксное то ставь PortSentry а на винду я дажа и не знаю ....

REDSTORM
хотелось бы под винду...

Netman
по всему видно, что Snort пока наиболее привлекательное решение...

Есть конечно монстр Real Secure от Internet Security Systems (http://www.iss.net) , но вещь не бесплатная. Не так давно вышла LAN Guard S.E.L.M которую тоже можно отнести к IDS, правда другой категории (http://www.gfi.com/lanselm/index.html)

из того что встречал ISS RealSecure,NetProwler+IntruderAlert

Цитата:

Смотря куда .... если на юниксное то ставь PortSentry а на винду я дажа и не знаю ....

точно говорит... а на винду winProxy/// либо поставь файервол OutPost там в настройках есть... только на самообучение его не ставь.. замучиешься исправлять )

народ поставил Snort ... настроек туева хуча ... но нету мануала ... могет кто нить подсказать где оным поживится ???

BlackIce как вам ?

Andryuha

Цитата:

BlackIce как вам ?

при чом здесь фаервул? совсем не в тему!

TROL
У BlackICE довольно приличная для этого класса IDS

V-Secure
http://www.v-secure.com/

неплохой hardware IDS

Цитата:

народ поставил Snort ... настроек туева хуча ... но нету мануала ... могет кто нить подсказать где оным поживится ???

http://www.hub.ru/modules.php?name=Sections&sop=printpage&artid=38
http://www.opennet.ru/opennews/art.shtml?num=2597
http://www.opennet.ru/search.shtml?words=snort&config=htdig&restrict=&exclude=index

Документации столько-же сколько и настроек, в т.ч. и на русском языке

Прошел год без пары недель.
Что нить поменялось? Нужен сабж под винду для достаточно большой сети (>300 компов), only программный.

FreemanRU
Есть SNORT портированный под винду ....

Jovanotti

Цитата:

Есть SNORT портированный под винду ....

Ну, SNORT - это понятно. Думал что еще появилось....

FreemanRU
НУЖНАЯ тема. Жаль только слабо наполняемая.
Дружественные топики не в счет там вообще ничего
http://forum.ru-board.com/topic.cgi?forum=8&topic=6756#1
http://forum.ru-board.com/topic.cgi?forum=8&topic=3189#1

Есть отличная книга по sec network от Syngress
сегодня посмотрю раздел про IDS
Сам щас начал разворачивать SNORT

Есть еще Honeypots for windows

Такая ситуация:
Имеется локалка с серыми адресами. машрутизатор с NAT. Почтовик за сетью.
Задача:
При отсылке по почте вируса, приходит уведомление, что "с вашего адреса был послан супер-мега опасный вирус". Адрес само собой - внешний маршрутизатора. Так вот идея анализировать траффик на прохождение подобного траффика, ведь почта не шифруется никак. Это задача IDS или все же нет? (в сети более 300 компов)

Зачем на этот предмет анализировать трафик? Для таких ситуаций, на почтовиках и стоят антивирусы.

Может и можно привернуть распознование вредоносных кодов к компьютеру идентифицирующиму вторжения, но зачем??? Функции у систем совершенно различные.
IDS - просматривает пакеты на предмет обнаружения попыток взлома и т.п.
А здесь тебе нужен анализ тела отсылаемого письма, страницы или чего-то ещё, а этим должны заниматься антивирусы.

З.Ы. хорошая подпись. Это модификация законов Мерфи

Felix

Цитата:

? Для таких ситуаций, на почтовиках и стоят антивирусы.

Антивирус - это хорошо, но трабла то в том, что алерт приходит о приходе вируса с внешнего адреса, а от этого адреса ходит 300 компов - и как понять какая с... виря подхватила? В общем понял, что это не IDS...

Попиши логи заходов на почтовый сервер (на машине с натом), может по времени сможешь вычислить круг машин, которые проверять.

Кто нибудь использует IDS системы не только как средство обнаружения атак,
но и как средство мониторинга сети, и активности корпоративных пользователей
сбор статистики, паролей и т.д.
Т.е испрользование таких систем во внутреннем периметре

Настройка связки Acid + snort на разных хостах.
Возможно ли такое? Ставлю из портов снорт на гейте и Acid на сервере с БД.
Но при установке Acid на сервере с БД начинает тут же ставиться из портов и снорт.

Как поставить просто Acid с Бд на одном хосте, а снорт на другом?

БАза данных по типам атак
http://nvd.nist.gov/

Закинул в шапку

всем привет.
взялся настраивать snort на нескольких машинах.
ну и логично пришёл к snortcenter.
использование SNORT на WIN платформе - тут проблему описал. может кто помочь сможет ?
заранее спасибо.

slech
http://users.pandora.be/larc/documentation/
ну и это на всякий случай
http://www.inode.ru/articles/admin/2006-01-19/243

G14
за ссылочки спасибо. я пытаюсь под windows настроить сенсоры в этом вся загвоздка.
кто что использует в качестве консоли по управлению множеством snort сенсоров ?

Цитата:

я пытаюсь под windows

В свое время долго искал про Snort под Win. Кроме сайта winsnort.com(довольно куцего и небогатого) не нашел ничего практически. Поэтому читал доки по *nix версии и адаптировал их под себя. И все из-за того, что snort нужен был как in-line на win шлюзе.