IDS



  • Hola Josep!

    Para tu información yo utilizo el paquete Snort para mis firewalls Pfsense, y funciona muy bien.
    El único inconveniente es que utiliza mucha memória.
    Normalmente se utiliza un IDS para reconocer ataques externos.

    He visto por el fórum que Scott ( no me acuerdo si es el ) que un IDS no es su prioridad en pfsense.

    Saludos.



  • ¡Hola de nuevo!

    ¿Tienes Snort en las mismas máquinas que pfSense?

    ¿Empleas www.snortsam.net con Snort y pfSense ? Parece una opción muy interesante, esto de los agentes SnortSam …

    Sí, ya me he fijado: "el tiempo no crece en los árboles", decía Scott.

    Para los servidores de correo he visto que la versión con paquetes de pfSense puede trabajar con spamd. Parece una opción muy interesante. Me enteré de spamd a través del fórum de FreeBSD en castellano, en el que se habló del artículo  http://www.onlamp.com/lpt/a/6895 ¿Lo empleas?

    Saludos,

    Josep Pujadas



  • Hola,

    Si, utilizo snort en las mismas máquinas pfsense. Snort lo utilizan otro tipos de firewalls como IPCOP.
    SnortSam no lo conocia; por lo que he podido ver esta bien poder crear una lista negra de Ip's ( menos registro para snort ).

    Spamd parece una utilidad interesante para evitar correo spam de forma menos costosa ya que empresas de seguridad comercializan a parte de sistemas de firewalls también firewalls de solo correos. ( En lugar de hacer un todo en uno ).

    Aún tengo que probar este paquete en pfsense

    Puede ser una buena opción para no utilizar otros productos de spam directamente desde servidores de correo.



  • ¡Hola de nuevo!

    Perdona que te "ametralle" con más dudas …

    ¿Pero los Snort que tienes con pfSense actualizan las reglas de pfSense o simplemente hacen de sensor+cónsola?

    ¿Puedes dar algunos datos sobre requerimientos de CPU para pfSense con Snort?

    ¿Las tarjetas de red que hacen de sensor (sniffer) pueden ser las mismas que las que gobierna pfSense o son otras adicionales? Como verás soy nuevo en el tema de los IDS y no tengo claro si una tarjeta en modo promíscuo puede hacer a la vez de tarjeta para el cortafuegos. En algunos gráficos de soluciones he visto que son tarjetas a parte.

    Saludos,

    Josep Pujadas



  • Hola Josep!

    Para utilizar Snort tienes que ser al menos un usuario registrado, porque sino, no  puedes actualizar las reglas ( hay diferentes modalidades, usuario registrado ( actualización a los 5 dias ) y subscriptor ( de pago, actualizaciones inmediatamente ).

    Cuando instalas Snort, tienes el apartado "Snort Settings", donde configuras una parte del funcionamiento.

    Oinkmaster code: Aquí va el código que Snor.org te genera
    Update rules automatically – Esta es la casilla donde se actualiza automaticamente ( IPCOP por ejemplo es manual ).

    Performance ( Rendimiento de Snort ): Aqui es la parte donde snort se puede ajustar para que no consuma tantos recursos.
    Un apartado que mejora el Snort de pfsense sobre IPCOP, es  "Snort Categories". En este apartado activas y desactivas las reglas que desees. Esto va muy bien, porque hay reglas que no necesitas que las actives. (mejora el rendimiento).

    Según las opciones que utilices snort puede aproximadamente unos 30% o 50%. Con el FX5620 ( Si colocas el Performance recmendado) no creo que tengas problemas de consumo. Snort te avisa cuantos megas consume, menú Status > System logs -- System ( Ejemplo de un Pc con 512Mb: SnortStartup[18696]: Ram free BEFORE starting Snort: 409M – Ram free AFTER starting Snort: 343M -- Mode ac -- Snort memory usage: )

    Cuando salga un fabricante que utiliece en su hardware más memoria ( para pfsense "Embedded"), el tema de memoria no te importará tanto. ( Se puede utilizar un PC y problema resuelto!).

    Por cierto, no necesitas ninguna tarjeta adicional. En el apartado "Snort settings" te dice sobre que tarjeta quieres actuar.Por lo general sobre la Wan (Puedes utilizar todas las Wan que tengas)

    Espero que te ayude esto.

    Snort es una buena utilidad, la única pega es la memória. Otros Firewalls comerciales utilizan sistemas parecidos y por este motivo normalmente tienen mucha memória.

    PD: Y con lo que me ametralles no pasa nada, para eso estamos, hoy te ayudo yo y mañana tú.
    Así haremos grande el mundo!!


Log in to reply