> Ahoj, > potrebuji nasadit nejaky rozumny IDS a nejak omezit pripadne DDoS > utoky. Servery mam pripojene do 1Gbps topologie a nerad bych, aby IDS > nejak vyrazne zpomaloval. > Prvni cesta vedla k Snortu, pak jsem nasel jak to resi na CVUT a > Cesnetu (LaBrea) a ted premyslim kterou cestou se dat. > Proto se chci zeptat, jestli tu nekdo ma konkretni zkusenosti s > podobnymi systemy na gigabitu a pripadne mi doporucil nejaky sizing > (pocitam ze klasicka soucasna intel platforma by ulohu bez potizi > zvladla). > Dik za tipy. > Ondra
Zkousel jsem si trochu v této oblasti hrat. Není to ale uplne odpoved na tvoji otazku, kazdopadne je to také cesta. Skoncil jsem u kombinace Prelude+OSSEC+Snort+Nessus. Nessus(vulnerability scanner) mi jednou mesicne z jednoho stroje scanuje systemy, report z nej je importovan do Prelude. OSSEC (HIDS) mi bezi na všech systemech a monitoruje veskere nestandardni situace, Snort(snifer) odchytava na kritickych mistech nesifrovanou komunikace, Prelude na jednom stroji mi to zastresuje. Každý z těchto systemu dokaze sam přes ssh a scripty modifikovat pravidla FW. Jak jsem se dival na LaBreu, je to něco co mi tam ješte chybi. Ale proste nic není dokonale .... Honza P.S.: Diky za inspiraci ... -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
