Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Security Onion – sprawny monitoring bezpieczeństwa sieci
Dzisiaj chciałbym Wam przedstawić jeden z dość intensywnie rozwijanych projektów z obszaru monitoringu bezpieczeństwa sieci – Security Onion.
Czym jest ta dystrybucja linuksa? Oddajmy głos twórcom:
Security Onion is a Linux distro for IDS (Intrusion Detection) and NSM (Network Security Monitoring).
Czyli mamy do czynienia z pudełkiem które „z marszu” zapewnia nam szeroko rozumiany monitoring bezpieczeństwa sieci.
Co konkretnie wchodzi w skład Security Onion? Zacznijmy od tak znanych narzędzi jak: system IDS – snort oraz webowa konsola graficzna wspomagająca analizę wygenerowanych przez snorta alertów (snorby).
Co więcej oferuje Security Onion? Masę przydatnych narzędzi: konsolę wspierającą analizę incydentów bezpieczeństwa: squil, czy narzędzia umożliwiające szczegółową analizę zrzutów pcap (jak choć Network Miner):
Nie brakuje też pomocy w tematach związanych z analizą przepływów sieciowych – jak np. narzędzie Argus, o którym pisaliśmy niedawno, czy tematów związanych elastyczną i szybką ręczną analizą ruchu sieciowego pod względem występowania nietypowych zdarzeń (Bro IDS).
Całość dostępna jest bezpłatanie, do pobrania w formie obrazu ISO, który do testów można zainstalować choćby na maszynie wirtualnej. Zainteresowanych projektem zachęcam również do przejrzenia prezentacji wprowadzającej do Security Onion (dla nielubiących czytać: film – Security Onion – Network Security Monitoring in Minutes) oraz odwiedzania ich często aktualizowanego bloga.
–michal.sajdak<at>securitum.pl
To może polecę OSSIM, który ma w sobie trochę większy wachlarz opcji: NIDS (suricata/snort), serwer HIDS (ossec), korelacja logów, wbudowany Nagios i jeszcze kilka innych bajerów. Dostępne są opcje komercyjne (http://www.alienvault.com/), trialowa (http://www.alienvault.com/free-trial) i open-source (http://communities.alienvault.com/)
D3LLF: dzięki za info. OSSIM to rzeczywiście super distro…choć nie wiem jak teraz ze stabilnością – używałeś może najnowszej wersji? (tj 4.x). Sam ostatnio walczyłem z 3.x i niestety była mało stabilna :/
–ms
Tak korzystam z tych narzędzi. 4.x jest zdecydowanie stabilniejszy i szybszy, ale nadal jest sporo rzeczy nad którymi muszą popracować, żeby poprawić jakość tego produktu.
D3LLF, securityonion ma wszystko (może poza nagiosem, nie mam pewności) o czym napisałeś. może warto porównać oba rozwiązania jak znajdzie się chwila czasu, kto wie co z tego wyjdzie :)
Jeżeli całość jest za darmo to czemu nie ;)
Ja jednak raczej się nie przerzuce z Zabbixa, w którym moge zrobić praktycznie wszystko. Swoją drogą, polecam mojego bloga, na którym często opisuję Zabbixa :)
Generalnie zabbix też monitoruje, ale raczej wydajność / dostępność :) Onionem za to jesteśmy w stanie wykryć analizować włamy czy inne ataki – również te złożone.
–ms
Nie działa strona:
http://demo.snorby.org/users/login