29.12.12

ubuntu12.04 + snort_inline 2.8.6.1 輕量型IPS "補完"

Snort_inline只支援到2.8.X.X版本
版本2.8.5以上可支援ipv6  "--enable-ipv6"

敬告:因2.8.X.X版本過舊搭配新的規則檔2931時有一些規則必須新增或微調,目前暫時先讓它能動起來測試

Snort_inline架構

























19.12.12

飛瑞 UPS C-1000 供電切換問題

''無電學基礎者有風險 , 請自行斟酌''

飛瑞的UPS城堡系列 , 真的是超耐用的
直到換了幾次電池後 , 突然供電切換異常 , 然後旁邊的散熱孔 , 冒火花出來...@@
超扯 , 好加在即時停機 , 不然會燒起來...


16.12.12

Ubuntu1204 + mrtg-mysql-load 用MRTG來觀看Mysql負載

須先安裝apache2 php5 mysql-server snmp snmpd mrtg
記得port 3306要開

cd /usr/local/bin                                                                                     //切換到usr/local/bin資料夾
wget http://www.bitbybit.dk/mysql/mrtg-mysql-load/mrtg-mysql-load-1.02.tar.gz        //下載
tar zxvf mrtg-mysql-load-1.02.tar.gz                                                     //解壓縮
//檔案在原目錄不會產生新目錄


SNMPv1 SNMPv2 SNMPv3

本文的MRTG是用來觀察localhost的流量
SNMPv3設定看這

apt-get install snmp snmpd                                    //安裝snmp , snmpd元件
vi /etc/snmp/snmpd.conf                                       //編輯snmpd.conf設定檔

#rocommunity public localhost                             //找到這行
          rocommunity public default -v                         //預設值
          rocommunity public localhost                //rocommunity  訪問權限
                                                                     //public 帳號
                                                                      //localhost 監控點IP    本機可用localhost ro 127.0.0.1取代

9.12.12

ubuntu12.04+Snort+Snortsensor 主從端設置

在收集Snort Log的主機 Mysql資料庫裡新增Snortsensor主機的帳號
mysql -u root -p                              //以root登入mysql
use snort;                                        //進入snort資料庫裡
grant insert, select, update on snort.* to snortsensor01@192.168.10.11 identified by "1234";

4.12.12

如果用Open source 來取代Cisco IPS 4200 系列


Cisco IPS 4200 特點




佈署參考圖


詳細規格





價錢















如果要用Open source IDS/IPS 來取代的話,來看一下佈署圖


















3.12.12

Snort主機佈署在區網內的方式

入侵檢測系統(Intrusion-detection system「IDS」)是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報的網路安全設備。IDS最早出現在1980年4月。該年,James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告,在其中他提出了IDS的概念。1980年代中期,IDS逐漸發展成為入侵檢測專家系統(IDES)。1990年,IDS分化為基於網路的N-IDS和基於主機的H-IDS。後又出現分布式D-IDS。詳情請參考維基 http://zh.wikipedia.org/wiki/入侵检测系统

如果你只是想在區網內建立一台Snort主機做監測
可參考,這兩篇文章建立

Ubutu12.04+Snort 2.9.2+mysql (一)

然後找一台有支援port mirroring的 Switch 或 Router,把所有有接線的Port 鏡像到所指定的Port上,連接Snort主機做分析或將Linux主機,架成路由器或安裝bridge套件,成為橋接器,將Snort佈署在上面偵測