Forums:
Hola amigos...
Tengo un gran problema, me pidieron instalar un sistema de detección de intrusos para un sistema crítico y de alta disponibilidad en tiempo récord. Se que snort es la mejor alternativa, pero estuve leyendo el manual y es complicado.
Alguién conoce otro sistema que funcione bien y que sea fácil de instalar, o en su caso un buen howto de snort?
puse snort en google y encontre mucha info
STW
http://www.linux.org/lessons/advanced/x370.html
eduardo, disculpa la demora
eduardo, disculpa la demora en responder: Hace unos meses me pidieron preparar un curso de snort y me puse a recompilarlo y demás y obtuve una vía (la menos complicada) para realizarlo.
Como comentario: Estoy bastante contento con el snort y lo complejo no es su instalación sino sus ajustes... son un poquito poco triviales...
Por lo demás te comento que en verdad es una alternativa bien fuerte y te lo recomiendo
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
ernesto es posible que me
ernesto es posible que me indiques la vía de como instalarlo?
con sumo gusto, pero es que
con sumo gusto, pero es que es un tema un tanto largo, me tomó más de una semana prepararlo para un curso que nunca salió... lleva un chorro de paquetes y muchas consideraciones sobre la configuración... un día cuando tenga calma (dificil) me sentaré a preparar un largo howto con todas las secciones sobre el caso. Pero ahora estoy preparando uno sobre respaldos seguros a través de ssh que me tiene contento!!!
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias Ernesto, espero
Gracias Ernesto, espero ansiosamente el howto.
IPS snort inline
Hola amigos soy nuevo en l foro...llevo algunos meses tratando de configurar un IPS con snort in line sobre centos...pro la verdada no logro que la red obtenga internet a una velodcidad similar a la normal sin las iptables..por fa si alguien conoce del tema le agradezco mucho
MAC
Este es un tema bastante
Este es un tema bastante viejo, deberías crear un nuevo tema en lugar de revivir uno viejo, ya que muchos no lo van a ver, además no está muy claro cual es tu requerimiento, trata de detallar que pasos son los que has seguido y cuales son tus problemas concretos, incluye las partes relevantes de las configuraciones así como de los logs ...
bye
;)
Saludos amigos soy novato en
Saludos amigos soy novato en temas de Linux...y para mi mala suerte debo empezar haciendo un Sistema de Prevencion de Intrusos con SNORT si o si ;)...bueno tengo instalado la version Centos 6.2 con kernel 2.6.32-279.22.1.el6.i686.. uso Snort in line 2.6.1.5 un tanto antiguo...dos tarjets de red dlink 520..
Primero configure el bridge entre las 2 tarjetas con brctl addbr bro...addif eth1 addif eth2 para este caso
mi esquema es el siguiente:
INTERNET----MODEM----eth1---IPS----eth2-----CLIENTE(S) o LAN
hasta aki pasa el trafico a normalmente a la LAN.....
A continuacion me dispuse a configurar snort_inline instalado primero sus dependencias entre ellas iptables, libdnet, etc etc..y compilando snort in line con mysql.. asi mismo editando el archivo snort_inline.conf...y finalmente las iptables las configure como sigue:
iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_queue
iptables –A INPUT –i br0 –p all –m state - -state RELATED, ESTABLISHED –j ACCEPT
iptables –A INPUT –i br0 –p all –j QUEUE
iptables –A FORWARD –i br0 –j QUEUE
LO mando a correr con:
snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l /var/log/snort_inline/
El problema viene desde aqui...use una reglas de prueba para drop de la pagina facebook por ejemplo y si la bloquea sin embargo el trafico proveniente de INternet esta notablemente LENTO en el cliente...dura mucho en cargarse...se que si me bloquea pero la red sufre una gran perdida en su velocidad...POR FAVOR SI ALGUIN ME AUXILIA EN ESTE CASO
MAC