Старый 12.10.2010, 16:10   #1
morty10
 
Аватар для morty10
 
Регистрация: 05.07.2010
Сообщений: 77
По умолчанию IDS, IPS, Система обнаружения вторжений

http://ru.wikipedia.org/wiki/Система_обнаружения_вторже ний

Хотелось-бы услышать мнения людей, которые уже использовали данные системы.
Их эффективность, нюансы в настройке, и вообще, стоит-ли оно того.

Помню когда в 05 году сливали секбал, там стояла IDS и админу пришло уведомление о вторжении,
но он ничего не сделал- то ли не успел, либо по какой-то другой причине.
__________________
Research for share.
morty10 вне форума   Ответить с цитированием
Старый 12.10.2010, 16:48   #2
Delimiter
 
Регистрация: 12.08.2010
Сообщений: 47
Репутация: 4
По умолчанию

Использую свой Secure Bridge (WinPCap)

по сути софт на компе(комп с 2-мя сетевухами) между локальной сетью и интернетом
как уже писал в болталке .... режу Skype любые Пиринги и много другиф вкусностей...
для серверов есть правила активности на исходящий трафик (наверно ближе всего к сабжу топика)
, на входящий по портам типа 21,23 3389 .... работает правило идентификации IP и сверка его по "доступным" IP
из списка корпоративного мессанджера.... вошел в мессанджер(тоже самописный) можешь заходить и на 3389 к примеру! Реализован автобан IP с которых приходит более 5 SYN пакетов на один и тот же порт в минуту!
Блокируются атаки MITM Arp poison (хакер внутри сети)// между гейтом и компом сети путем сравнивания "на лету" с таблицей IP-MAC// Таблица хранится в mdb ... пополняется автоматически ЕСЛИ новый IP имеет неизвестный MAC адрес!!


... исходящий трафик серверов урезан только апгрейт мастдая (исходящие соединения без предварительного ДНС не допускаются по портам 80 и 443...) а днс запросы разрешаются по 4-м степеням
-разрешено все
-разрешено все кроме запрещенных
-разрешены только разрешенные
-запрещено все

все днс (как впрочем и весь трафик сливается в mdb)
ночью дневной дамп(access таблица)(около 300 тыс записей сворачивается в 6 тыс архива(access таблица))

.... к тому же он в развитии 8))) .... ну и косяки как же без этого! 8))
Delimiter вне форума   Ответить с цитированием
Старый 12.10.2010, 23:17   #3
ficrowns
 
Аватар для ficrowns
 
Регистрация: 06.09.2010
Сообщений: 13
Репутация: 0
По умолчанию

Цитата:
Сообщение от morty10 Посмотреть сообщение
Хотелось-бы услышать мнения людей, которые уже использовали данные системы.
Их эффективность, нюансы в настройке, и вообще, стоит-ли оно того.
Очевидный и самый главный вопрос - для каких целей?
Далеко не каждому IDS/IPS понадобится на простой машине/ноуте.
И наоборот, во многих других случаях они будут необходимы как один из элементов защиты.
ficrowns вне форума   Ответить с цитированием
Старый 13.10.2010, 15:45   #4
morty10
 
Аватар для morty10
 
Регистрация: 05.07.2010
Сообщений: 77
По умолчанию

Устанавливать собирался на сервер.
От системы требуется мгновенное реагирование на всякого рода бруты, sql запросы и.т.п.
Тщательный мониторинг трафика и развернутые отчет/статистика.
__________________
Research for share.
morty10 вне форума   Ответить с цитированием
Старый 21.10.2010, 17:34   #5
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

У меня по этой теме такой вопрос: как слить большой файл с хоста за IDS?

Самому приходит на ум только (при возможности править файлы) правка заголовочного файла, который инклудится во все файлы сайта, с тем, чтобы отдавать например 50 кбайт по принимаемому счетчику. Т.е. затем пишется скрипт, которой заходит на разные урлы сайта (как робот), а на сервере заголовочный файл смотрит - если isset(POST[key]), то отдает key-тый кусок нашего файла. Все это по желанию можно перемежать сканом того же acunetix'a.

Таким образом, конечно, не скрыть от IDS аномальный всплеск трафика, однако при просмотре логов не будет явно заметно, что причина всплеска - передача большого файла.

Хотелось бы почитать мысли, какие есть еще пути в такой ситуации, а также в ситуациях, когда нет возможности править файлы или когда веб-сервер вообще не установлен.
SynQ вне форума   Ответить с цитированием
Ответ

Метки
ids, ips

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot