如果要用Open source IDS/IPS 來取代的話,來看一下佈署圖
圖中那兩台N-IDS
用Snort就可以架起來了,不安裝SQL,當Sensor用,做蒐集用
圖中的四台N-IPS
三台用閘道式防火牆,Snort+NAT+Guardian
一台用透通式防火牆,Snort+Bridge+Guardian
區網內必須要有一台管理主機,來監控Snort的alert與Iptables的Log
Iptables必須注意Kernel是否有開啟模組 'config_netfilter_advanced=y' 才有支援 OSI 7 Layer 第二層
Iptables必須安裝L7-filter套件,才有支援到OSI 7 Layer 第七層
IPS的部分,其實也可以直接安裝Snort Inline或Suricata
IDS的部分,也可用Bro-IDS,只是Snort比較有名
要建置H-IDS Group ,也可採用OSSEC
要在區網內偵測多種協定的流量,可用NTOP或BandwidthD
Cisco MEG 交叉分析技術與 CTR 技術的部分
在Open source IDS/IPS上,真的就是需要經驗辨識了
硬體式與軟體式皆有它的優缺點,成本考量,技術服務,方便性
每個公司的網路拓普都不同,端看你怎麼佈署
資安的重點不是在設備,設備只是個輔助的工具
如果你老闆讓你買了這麼貴的設備,哪天被入侵竊取資料,
沒有留言:
張貼留言