我将要放置一些IP空间,以便有人可以使用它作为共同空间和专用主机。 networking将有自己的思科路由器和几个二层pipe理交换机,我将pipe理端口镜像和嗅探不是一个问题。
我在snort之外寻找某种方式来监控垃圾邮件发送者和恶意行为,比如恶意的或者被攻破的PHP脚本以及我不想去的非法事件。 我有不同的networking上的这些问题的解决scheme,但我需要在这个networking上非常积极主动。 我不能在每台服务器上审核软件,尽pipe我们会经常对networking进行探测。 另外,这些主机可以发送一些邮件。
有没有人有这样的问题,他们会推荐的任何开源解决scheme?
我可能最终会给这个networking自己的SMTP服务器与垃圾邮件检测和反病毒,然后禁止出站smtp在这个networking上的任何东西,但我们的服务器。
我最好的build议是build立一些IDS(如Snort ),可能与Netflow导出器和stream程工具和/或JKFlow等工具 结合使用 。 这将使您能够分析networking上的活动并检测“exception”或“可疑”事件。
这里的关键是从长远来看,确定什么是“正常”与“exception”之间的关系,这样您收到的任何警报都将是有意义的。 如果你的监控系统经常引起误报,你最终会对他们脱敏,错过一个真正的问题。