Portál AbcLinuxu, 8. května 2025 13:50

Dotaz: Snort vs Suricata IDS a best practices

26.9.2016 15:41 ss
Snort vs Suricata IDS a best practices
Přečteno: 1236×
Odpovědět | Admin
Ahoj. Chtěl bych nasadit Snort nebo Suricata IDS na router/firewall (v 1 zařízení). Měl bych několik otázek:
  1. Co byste doporučili - fukčnost/výkon? ... do nedávna byl asi Snort v pozadí za Suricatou kvůli jednovláknové architektuře, ale i Snort podle všeho už umí více vláken.
  2. Co je možné a vhodné pomocí síťového IDS na routeru chránit/detekovat útoky a proč? Jen servery nebo i koncové stanice?
  3. Je dobré terminovat SSL spojení před IDS (tzn. IDS může analyzovat vnitřek) nebo ne?
Předem díky moc za reakce a pokud by někdo měl info o nějakém lepším SW, taktéž uvítám (viděl jsem v plenkách i nějaký projekt integrující Snort, hadoop, ...) ...
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

26.9.2016 17:28 NN
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices
Odpovědět | | Sbalit | Link | Blokovat | Admin
Snort je velka klasika, dnez uz placena. Suricata se objevila nedavno, ale vypada dost nadejne. Obecne se IPS/IDS funkcionalita obcas prodava jako soucast komercniho firewallu, ale jeste jsem to nevidel nakonfigurovane tak, aby to splnovalo ucel. Takze se na to spousta lodi vykaslala a resila to endpoint security, jako castejsi zdroj problemu. Misto signature based metody se take pouziva Flow based a behavioralni analyza, ale to je jina kategorie..
27.9.2016 16:25 Karel
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices
Odpovědět | | Sbalit | Link | Blokovat | Admin
Snort (i Suricata) hledá v komunikaci známé řetězce znaků. Má to ale dnes šanci fungovat, když se dnes téměř vše šifruje? Mě by zajímalo, jestli to třeba může poznat zavirované zařízení v moji síti (Windos nebo třeba Android)?
alles32 avatar 1.10.2016 14:41 alles32 | skóre: 15 | Evropa
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices

internet, stejne jako utoky neni pouze http zejo a snort neni antivirus. zato se napr. umi naucit typicky L2 provoz v hlidany siti a pak hlasit anomalie.

s identifikaci zavirovanych windows ti, krome antiviru, muzou pomoct napriklad honeypoty, na ktery ty okna utoci. ;]

1.10.2016 15:17 NN
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices
Ja si rikam, jestli IDS i honeypotum, ktere maji svou slavu uz take za sebou, neodzvonilo a neni vhodnejsi nasadit neco sofistikovanejsiho. Zarizeni, ktere kombinuje vice stylu a zvladne napriklad stredne velky DDoS, maskovani se za jiny protokol etc. Proste, aby si to zaslouzilo samostastny box v siti.
alles32 avatar 1.10.2016 15:34 alles32 | skóre: 15 | Evropa
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices
myslis jestli jako nekdo predinstaloval a predkonfiguroval vsechny mozny security tooly do jedny vps appliance a dodal k tomu jednotny konfiguracni gui a pekne vypadajici vystupy? ;]
30.9.2016 13:16 ss
Rozbalit Rozbalit vše Re: Snort vs Suricata IDS a best practices
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak zatím to logicky vypadá, že IDS na SSL je v podstatě k ničemu, takže HTTPS je potřeba terminovat reverzní proxy, ale zase pak je prý lepší mod_security než třeba snort ... Co se týká ostatních protokolů - imap/smtp/dns ... vyplatí se to? Jestliže to tu někdo používá, tak jak a na co?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.