SafeGroup

Witam,
Prowadząc badania potrzebne do części praktycznej pracy dyplomowej, dużo myślę o wykrywaniu ataków korzystając z darmowychrozwiązań. Na 95% w mojej pracy znajdzie się rozdział dotyczący instalacji, konfiguracji i dodawania/edytowania reguł systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

, a także część multimedialna prezentująca OSSEC "w akcji". 5% zostawiam asekuracyjnie, gdybym wpadł na jakiś dziwny pomysł, lub gdybym miał problemy z czasem (Snort?). Ma być to odpowiedź na często spotykane ostatnimi czasy w moim otoczeniu komercyjne systemy IDS/IPS, które są owszem ładnei wygodne , ale bardzo drogie .

Szukałem paru pozycji książkowych, które mógłbym zamieścić w bibliografii i natknąłem się przypadkiem na:

[Aby zobaczyć linki, zarejestruj się tutaj]

. Książka została wydana w 2008 roku, ale tematyka której dotyczy nie wydaje mi się "przeterminowaną". No właśnie - mi się nie wydaje, ale chciałbym zaczerpnąć Waszych opinii na ten temat.

Według informacji zamieszczonych na stronie

[Aby zobaczyć linki, zarejestruj się tutaj]

, ostatnia wersja psad-2.1.7ukazała się w 2010 roku i taką też można pobrać z repozytorium przykładowo Fedory. Z kolei fwsnort-1.6.1ukazał się we wrześniu 2011, fwknop- styczeń 2012, a uzupełniający całość skrypt gpgdir-1.9.5opublikowano we wrześniu 2009 roku. Co do zastosowania/działania/stabilności/możliwości konfiguracji iptablesnie mam raczej wątpliwości, ale do przemyślenia - pytanie do Was:

Jak widzicie przyszłość rozwoju przedstawionego wyżej pakietu ? Czy będzie to projekt ciągły, mimo, że niektóre składniki całości są stosunkowo leciwe? Ostatnie wydanie fwknop nie wskazuje na to, żeby prace zostały porzucone, ale może znacie lub słyszeliście o jakiś ciekawszych/lepszych rozwiązaniach, które są/będą następcą psad? Ja osobiście nie słyszałem, ale muszę również przyznać, że nie szukałem.

Może nawet Wasze sugestie pomogą mi uzupełnić pracę ciekawostkami?

PS.

[Aby zobaczyć linki, zarejestruj się tutaj]

Michaela Rasha został porzucony w okolicach daty wydania książki, a wszystkie nowości są publikowane na stronie projektu cipherdyne.org. Nie mniej jednak na blogu można zaczerpnąć informacji ze starszych wpisów.

Pozdrawiam!

Z jakich systemów korzystałeś?

Eugeniusz napisał(a):Z jakich systemów korzystałeś?

Chodzi Ci o to?

nikitagorbaczow napisał(a):często spotykane ostatnimi czasy w moim otoczeniu komercyjne systemy IDS/IPS

Jeśli tak, to w przypadku kontrolowania ruchu sieciowego np. Entensys UserGate Proxy&Firewall; monitorowanie: Axence nVision; wspaniałe , bezkonkurencyjnei najbezpieczniejszerozwiązania sprzętowo-programowe firmy WatchGuard; wygodne uwierzytelnianie i monitorowanie - rozwiązania firmy Telsar; SonicWALL; NitroSecurity i parę innych, których nie mam w głowie - musiałbym zerknąć do notesu.

Nie korzystałem z żadnych z tych systemów, ale byłem na paru konferencjach (np. IT Security Management 2011, Kongres Bezpieczeństwa Sieci 2012). Oczywiście rozumiem kwestię sponsoringu i charakteru tych spotkań, ale mimo wszystko ceny czasami otwierają oczy. Tak jak mi. Rozumiem fakt konieczności wdrażania niektórych płatnych rozwiązań w korporacjach, gdzie potrzebny jest całodobowy support (i jeszcze wiele innych koniecznych usług), ale nie to jest głównym tematem - to wszystko tylko spowodowało, że zainteresowałem się darmowymi rozwiązaniami dotyczącymi bezpieczeństwa sieci lokalnej.

Wymienione wyżej firmy i nazwy produktów, to oczywiście nie to samo co iptables, ossec, snort, czy psad, bo są to w dużej mierze rozwiązania sprzętowe (+ dedykowane oprogramowanie), a czasami rozwiązania SIEM, które dotyczą znacznie szerszej funkcjonalności i różnych aspektów bezpieczeństwa IT - czasami nie tylko technicznych ale i socjologicznych (tylko podkreślam, że rozumiem brak płaszczyzny do porównania). Tak jak napisałem - to był tylko bodziec

kiedyś już wrzuciłem na forum info o projekcie Snorby IDS

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz IP Fire

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

polecam także luknąć w nieco trochę już archiwalne pozycje
Ochrona Systemu Linux - J.H. Terpstra, P.Love, Tim Scanlon wyd. Edition 2000
Hack Proofing Linux - J.Stanger, P.T.Lane wyd Helion 2003
TCP/IP-Administracja sieci - Craig Hunt, wyd. O''Reilly
101 zabezpieczeń przed atakami w sieci komputerowej - M.Szmitz wyd. Helion 2005
Linux - Mechanizmy sieciowe - Christian Benvenuti wyd. HelionOReilly
a co się tyczy wyrażenia przeterminowany to wg mnie dotyczy to zagadnień oraz stosowanych procedur ochronnych z
kernelem poniżej v. 2.4 gdzie używany był <ipchains> w 2.2 lub<ipfwadm> w 2.0

Jako uzupełnienie dopisuję nowszą pozycję do wykazu lektur z zakresu sieci
Network Warrior - Wojownik Sieci

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz link do bootującej wersji firewalla typu LiveCD
OpenBSD Live CD Firewall 3.8.1

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

na koniec wprowadzenie do SNORT-a w linku

[Aby zobaczyć linki, zarejestruj się tutaj]