arnizzz Skrevet 7. oktober 2010 Del Skrevet 7. oktober 2010 Noen som har erfaringer med host-baserte IDS? Må funke på windows server 2003 og opp. Linux støtte er også et stort pluss. Vil gjerne ha en sentral management av det. (blir vel gjerne litt meningsløst om man ikke har det) Fant http://www.ossec.net/, men har ikke satt meg inn i det. Vil gjerne ha litt input da jeg ikke har noe kunnskap om slike program fra før av. Lenke til kommentar
nomore Skrevet 7. oktober 2010 Del Skrevet 7. oktober 2010 Har dere vurdert fysiske IDS/IPS systemer? Min erfaring er at IDS(Intrusion Detection System) er litt meningsløst på selve serveren(eller serverene). Da det ofte er for sent når du får beskjed om at noen har brutt seg inn. Og spesielt når dette først ble oppdaget på målmaskinen. Vi kjører IPS(Intrusion Prevention System) på fysiske enheter som filtrerer trafikken mellom serverene og internett. Resultatet er at evnt angrep blir oppdaget OG stoppet før trafikken når målserveren. Lenke til kommentar
arnizzz Skrevet 7. oktober 2010 Forfatter Del Skrevet 7. oktober 2010 Jo nettverksbasert IDS skal også på plass og er det allerede til en viss grad med Snort. IDS signaturer er ikke akkurat veldig nøyaktig. F.eks så kan en trojaner ligge i flere måneder før noe skjer. Og om man har real-time scanning av systemfiler etc og logger mot en management-server, så kan ikke den infiserte maskinen gjøre noe med det i og med at det blir en slags "Write-only" (not read) opplasting til overvåkningserveren. Litt sånn som syslog-ng. Eller er jeg på viddene her? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå