Snort para monitorear un Core ??

Sebastian Veloso Varas sveloso en sevelv.cl
Jue Sep 11 09:20:16 CLT 2008


Vida Luz Arista escribió:
> Hola a todos,
>
> Queremos ver la posibilidad de poner un snort para monitorear trafico
> malicioso en l aparte del core, nuestro enlace internacional es de 90 Mbps,
> y queríamos ver la posibilidad de monitorearlo con Snort, el Fortinet lo
> evaluamos, pero queríamos ver so apostábamos por Snort o alguna otra buena
> solución en opensource.
>
> Agradeceré cualquier sugerencia.
>
> Saludos,
>
>   
Hola,

Yo he montado Snort para sensar trafico sobre 300MB, y no he tenido
problemas con Snort. Ojo, eso si, la maquina que debe correr Snort debe
estar equipada con una buena cantidad de memoria y CPU para poder
loguear y procesar la informacion, es proporcional obviamente al trafico
a recopilar.

Lo ideal es montar un equipo con al menos, para tu caso, de 2-3 GB RAM.

También influye la cantidad de firmas y modulos que actives al momento
de procesar el tráfico. Mientras mas actives, mas carga e impacto se
llevará la maquina. Por ejemplo si quieres revisar tráfico de ataques
DoS, activa solamente el modulo de ataques DoS para que te alerte el
sistema.

Si quieres agregar además un visualizador gráfico, puedes usar ACID (
Analysis Console for Intrusion Databases) en donde puede ver las alertas
y estadisticas via web
(http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html)
También esta la solucion Aanval, que pagas un coste de licencia
(http://www.aanval.com) pero entrega mucha mas graficas, detalles y 
estadisticas al respecto. El mas completo a mi gusto.

Saludos,


-- 

Sebastián Veloso Varas




Más información sobre la lista de distribución Linux