Архив форумов ЦИТФорума

[Nicola]

Вот подумываю установить у себя отдельную машину, которая могла бы заниматься только безопасностью сети. Чтоб потихому каналы прослушивала, атаки логила. В общем вела мониторинг активности. Просто сниффер ставить не очень интересно (сами понимаете захват данных будет огромен, и разобраться в нем будет не возможно). Так вот, может кто-нибудь уже такое реализовывал? Что скажете?
Заранее спасибо.

З.Ы. Тема возникла в голове в ответ на саймантековский программно-аппаратный комплекс защиты так что примерно думаю о некоемом подобии (правда сам еще его не пощупал)

[vvt]

Покопай в сторону honey pot'ов. На осп.ру про них статья была. Там, помоему, даже есть описания различных реализаций.

[Nicola]

Ну да, это конечно вариант, но я не рассматриваю приманку, я рассматриваю мониторинговую машину. У меня не районная сетка и соответсвенно я не хочу никого провоцировать. Кроме того хотелось бы иметь возможность отмониторить СИН атаку. В общем на самом деле интересно реализовывал ли кто-либо подобное у себя.

[ALEX_SE]

На самом деле вопрос - у автора есть свич с зеркалированием трафика?..

[Santa Claus]

[and3008]

Представь себе трубу пропускной способностью 100 кубов в минуту.
Тяжело? А ты попробуй.

А вот теперь представь размер девайса, который отслеживает чъе тут гамно по этой трубе бежит. За одно отслеживает гамно обычного обывателя от гамна террористов. Особо въедливо нюхаются взрывчатые вещества и наркотики.

Мдя...

В общем "по-тихому" мониторить один! 100 мегабитный канал не получится. Шум вентиляторов и большой размер ящика несомненно привлечет внимание общественности.

Если интересуют бесплатные реализации IDS-систем, то смотри в сторону Snort. Только помни, что тачанка для мониторинга должны быть весьма производительной.
Если желаешь такую систему создать с нуля, то будь готов потратить несколько лет жизни. Дело это непростое, как может показаться на первый взгляд.