Русская группа пользователей Snort

EasyIDS дистрибутив на базе CentOS предназначенный для простой установки IDS Snort. Дистрибутив рассчитан на начинающих специалистов по безопасности с минимальным опытом работы в Linux

Особенности:

• Основан на безопасной и стабильной ОС (CentOS)
• Пассивное определение попыток вторжения и сетевых атак
• Механизм анализа вторжений (BASE)
• Автоматическое обновление правил (Oinkmaster, Snort VRT licensed rules, Сommunity rule, Bleeding Snort rules)
• Механизм анализа сетевого трафика (ntop)
• Рассылка предупреждений по E-mail об обнаружении атаки
• Графики производительности Snort
• Бэкапы по расписанию (локальные или по FTP)
• Интегрированная система помощи

Сайт разработчиков
Скачать

Павел Закляков

"Системный администратор" №5(18), май 2004

«Лучше один раз увидеть, чем сто раз услышать» гласит пословица. Многие вещи мы лучше понимаем, представляем и запоминаем, если видели их собственными глазами. При этом не всякое нами увиденное воспринимается одинаково хорошо. Очень сильно на процесс восприятия влияет наглядность. В этой статье будет рассмотрен именно такой вариант отображения данных об интенсивности атак, регистрируемых с помощью Snort. В качестве средства отображения используется MRTG.

Предполагается, что имеется СОА Snort, данные с одного или нескольких сенсоров которой заносятся в БД инцидентов. Необходимо организовать визуальное отображение среднего уровня атак в зависимости от времени. Для отображения удобнее всего использовать штатное средство большинства Linux-систем - MRTG (The Multi Router Traffic Grapher) [1,2 стр. 52-53, 3 стр. 316, 4 стр. 208-216]. Предполагается, что MRTG у вас уже установлен. Рассмотрим его настройку. Конфигурационный файл MRTG обычно называется mrtg.cfg и находится в директории /etc/mrtg.