IPS

Forums: 

Hola amigos...

Tengo un gran problema, me pidieron instalar un sistema de detección de intrusos para un sistema crítico y de alta disponibilidad en tiempo récord. Se que snort es la mejor alternativa, pero estuve leyendo el manual y es complicado.

Alguién conoce otro sistema que funcione bien y que sea fácil de instalar, o en su caso un buen howto de snort?

eduardo, disculpa la demora

Imagen de Epe

eduardo, disculpa la demora en responder: Hace unos meses me pidieron preparar un curso de snort y me puse a recompilarlo y demás y obtuve una vía (la menos complicada) para realizarlo.

Como comentario: Estoy bastante contento con el snort y lo complejo no es su instalación sino sus ajustes... son un poquito poco triviales...

Por lo demás te comento que en verdad es una alternativa bien fuerte y te lo recomiendo

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884

Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre

con sumo gusto, pero es que

Imagen de Epe

con sumo gusto, pero es que es un tema un tanto largo, me tomó más de una semana prepararlo para un curso que nunca salió... lleva un chorro de paquetes y muchas consideraciones sobre la configuración... un día cuando tenga calma (dificil) me sentaré a preparar un largo howto con todas las secciones sobre el caso. Pero ahora estoy preparando uno sobre respaldos seguros a través de ssh que me tiene contento!!!

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884

Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre

IPS snort inline

Hola amigos soy nuevo en l foro...llevo algunos meses tratando de configurar un IPS con snort in line sobre centos...pro la verdada no logro que la red obtenga internet a una velodcidad similar a la normal sin las iptables..por fa si alguien conoce del tema le agradezco mucho

MAC

Este es un tema bastante

Imagen de deathUser

Este es un tema bastante viejo, deberías crear un nuevo tema en lugar de revivir uno viejo, ya que muchos no lo van a ver, además no está muy claro cual es tu requerimiento, trata de detallar que pasos son los que has seguido y cuales son tus problemas concretos, incluye las partes relevantes de las configuraciones así como de los logs ...

bye
;)

Saludos amigos soy novato en

Saludos amigos soy novato en temas de Linux...y para mi mala suerte debo empezar haciendo un Sistema de Prevencion de Intrusos con SNORT si o si ;)...bueno tengo instalado la version Centos 6.2 con kernel 2.6.32-279.22.1.el6.i686.. uso Snort in line 2.6.1.5 un tanto antiguo...dos tarjets de red dlink 520..

Primero configure el bridge entre las 2 tarjetas con brctl addbr bro...addif eth1 addif eth2 para este caso
mi esquema es el siguiente:

INTERNET----MODEM----eth1---IPS----eth2-----CLIENTE(S) o LAN

hasta aki pasa el trafico a normalmente a la LAN.....

A continuacion me dispuse a configurar snort_inline instalado primero sus dependencias entre ellas iptables, libdnet, etc etc..y compilando snort in line con mysql.. asi mismo editando el archivo snort_inline.conf...y finalmente las iptables las configure como sigue:

iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_queue
iptables –A INPUT –i br0 –p all –m state - -state RELATED, ESTABLISHED –j ACCEPT
iptables –A INPUT –i br0 –p all –j QUEUE
iptables –A FORWARD –i br0 –j QUEUE

LO mando a correr con:
snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l /var/log/snort_inline/

El problema viene desde aqui...use una reglas de prueba para drop de la pagina facebook por ejemplo y si la bloquea sin embargo el trafico proveniente de INternet esta notablemente LENTO en el cliente...dura mucho en cargarse...se que si me bloquea pero la red sufre una gran perdida en su velocidad...POR FAVOR SI ALGUIN ME AUXILIA EN ESTE CASO

MAC