Piccola guida per ids/snort
-
Ciao a tutto il forum!
Sono un nuovo utente alle prese con questa fantastica distribuzione ;D.
Sono passata da una piccola distro con motore di filtraggio netfilter/iptable ad Pfsense, e purtroppo, ho alcuni dubbi su come configurare al meglio la sezione IDS.
Sapete dirmi se in giro ce una guida recente?L'altro quesito è ; dato che hanno aggiornato le regole snort , l'hardware per far girare pfsense devo essere molto performante?
grazie
-
Ciao,
puoi partire da questa
http://www.pfsenseitaly.com/2012/08/trasformare-pfsense-in-un-sistema-idsips.htmlCiao fabio
-
Io darei uno sguardo pure a questo: https://forum.pfsense.org/index.php?topic=61018.0 e questo https://forum.pfsense.org/index.php?topic=64674.0.
Io preferisco l'uso combinato di Snort + pfBlocker, a breve uscirà pure pfBlockerNG (in fase di test).
Non sono in grado di darti un consiglio preciso sui requisiti minimi hardware per far girare Snort (ho un set up abbastanza performante) ma credo che facendo girare Snort su 2 sole interfacce senza altri pacchetti, con 2GB di RAM sei ok. Per quanto riguarda la CPU, dipende dal traffico che devi gestire.
Personalmente non uso Snort su WAN ma solo sulle interfacce LAN (3), in quanto per default pfSense blocca tutto il traffico non richiesto su WAN.
Da https://www.pfsense.org/hardware/#requirements:
CPU Selection
The numbers stated in the following sections can be increased slightly for quality NICs, and decreased (possibly substantially) with low quality NICs. All of the following numbers also assume no packages are installed.
10-20 Mbps
We recommend a modern (less than 4 year old) Intel or AMD CPU clocked at at least 500MHz.
21-100 Mbps
We recommend a modern 1.0 GHz Intel or AMD CPU
101-500 Mbps
Server class hardware with PCI-e network adapters, or newer desktop hardware with PCI-e network adapters. No less than a modern Intel or AMD CPU clocked at 2.0 GHz.
501+ Mbps
Server class hardware with PCI-e network adapters. Multiple cores at > 2.0GHz are required. -
grazie veramente per le guide riportate sopra!
Per il discorso hardware allora sono un po fuori gioco :( , nel senso che il vecchio pc è un P3 500mhz con solo 256mb di ram.
Dite di provare comunque? ??? -
Direi che a livello di RAM, snort su una sola interfaccia ed usando un ruleset basico si mangia 150/200 MB (dipende dalle regole che attivi).
Nel mio sistema, una istanza con ET ruleset e VRT ruleset su singola LAN si mangia 288MB di RAM…..avendone 8GB.
Se vuoi provare, installa Snort ed attiva solo le regole una alla volta monitorando CPU e RAM. Comunque ti consiglio vivamente di usare HW un po' più performante, non necessariamente spendendo centinaia di euro.