Dla przypomnienia Snort to jedno z najpopularniejszych rozwiązań klasy IPS/IDS dostępne w modelu OpenSource.
Całość została stworzona od zera, ale na podstawie doświadczeń ze Snortem w wersji 2. No dobrze, ale co ciekawego mamy w Snorcie3 (w porównaniu z 2)? Po pierwsze wielowątkową analizę pakietów (support for multiple packet processing threads), po drugie – usprawnione tworzenie reguł; dalej – bogate wsparcie dla pluginów oraz gładkie uruchamianie na różnych systemach operacyjnych.
Pełna tabela porównawcza poniżej:
Czyli podsumowując: szybciej, bardziej elastycznie i wygodniej :-)
Dostępne są też tutoriale video Cisco Talos wprowadzające w całość. Instalacja:
Tworzenie reguł według Cisco Talos:
Snort3 jest również sercem produktu IPS oferowanego przez Cisco. W ramach pełnego rozwiązania otrzymujemy takie elementy:
Przyjazna konsola do analizy alertów
Odpowiednio mocny sprzęt do analizy całego ruchu sieciowego, który chcemy objąć ochroną
Automatyczny tuning reguł i dostosowanie ich do usług używanych w naszej sieci
Aktualizacje reguł (nowe zagrożenia!)
Priorytetyzacja zagrożeń i odsiewanie false positives
Integracja z innymi elementami naszej infrastruktury bezpieczeństwa
–ms
Spodobał Ci się wpis? Podziel się nim ze znajomymi: