我们需要在我们的linux代理服务器上设置入侵检测系统(IDS)。 请build议入侵检测系统? 别的什么比Snort?
而且… snort有一个好的networking界面吗?
你的问题很模糊。 我在这里回答了一个类似的含糊问题:
组织networking体系结构中防火墙,入侵防御,检测和防病毒技术的比较
SNORT几乎是基于开源networking的IDS的事实标准。 维基百科页面也列出了其他人。 SNORT有各种各样的前端。 开源的是BASE和拥有SNORT的公司Sourcefire ,销售一个商业版本。
只是networking监控或入侵系统? 文件完整性扫描程序可能会有所帮助,但需要进行维护,因为每次更新系统时都需要进行更新,并需要进行一些初始调整。 有关这方面的信息,请参阅开放源代码Tripwire页面。
维基百科也有一些链接到IDS系统。
我使用OSSEC HIDS。 基本上,它检查文件完整性(/ etc / passwd,…)并分析日志文件(syslog,auth.log,…)。 它有可用的网页界面和电子邮件通知。 但是没有什么特别的,我猜。
问候,
马丁
我会说没有什么比安全解决scheme的命令级设置来控制一切实施…虽然
对于一个graphics用户界面Snort,有:http:// sguil.sourceforge.net /不知道你会发现它有多好,但可以看看Scrrenshots @ http:// sguil.sourceforge.net /截图html的
除了SNORT以外,好的IDS是BRO: http ://www.bro-ids.org/
阅读一篇关于它的研究文章…有一个很好的可插拔体系结构…很好
IDS不同于IPS( 入侵防护系统 )。 为什么要求使用IDS,您是否计划报告攻击或构build防火墙来阻止肮脏的networkingstream量?
鱿鱼和其他proxys可以被configuration为只能传输干净的stream量…在互联网上漂浮的数据包的分配,可以忽略它们的分配。
使用BASE或ACID等接口的Snort使用大量 CPU周期,RAM和SQL空间(物理存储)。 如果您处理生产级别的环境IDS必须正确设置,或者它变得毫无意义。
如果您在代理服务器上运行snort,则数据库和日志不会每周维护一次,而不会晚于代理服务器由于缺乏资源而暂停。
所以说,你对IDS有真正的兴趣,你将需要一个严重的服务器,根据你的stream量来支持Squid + Snort + Apache + MySQL + PHP WebGUI。
更理想的select是设置连接到主交换机镜像端口的专用机器和专用监控NIC。
祝你好运,IDS比有用的更有趣。
查看HoneyPot项目和OSSEC