Bom dia Dailson, No corpo.
Em 14/02/07, Dailson Fernandes <[EMAIL PROTECTED]> escreveu:
A Minha dúvida é a seguinte: Estou implementanto o NIDS (Snort + Uns trequinhos) e gostaria de saber o seguinte: O Snort deve estar em uma máquina independente ?
Não necessariamente. Isso é o que se fazia quando usávamos hubs. A máquina ficava em paralelo, como pode ser visto em http://hlbr.sourceforge.net/ips.html. Com o advento dos switches, isso ficou mais difícil, pois você precisaria fazer um espelhamento de portas para os dados chegarem no Snort. Você também pode montar uma bridge (o kernel geralmente já vem com o suporte habilitado) e colocar o Snort nela (o mesmo ficará in-line). Colocar junto com o Iptables: NUNCA! Isso é uma tremenda de uma falha de segurança. O Iptables poderá ser intrudido via eventual falha de segurança no Snort. A não ser que você coloque mais um Iptables, só para isso, o que não lhe trará vantagem e adicionará um roteamento extra. Eu colocaria uma bridge entre o HLBR e o Iptables. Com isso, você vai ver o que o HLBR não pegou. Mas essa máquina não pode ser muito furreca, pois o Snort poderá onerar o processamento e atrasar o tráfego.
Se não estiver em uma máquina independente, devo instalar na máquina do IPTABLES?
NUNCA!!!! Suicídio!!!! Segurança deve ser feita em profundidade. Não se acumula serviços de um firewall em uma mesma máquina. Na figura que eu falei, tem um Squid com um Iptables. Mas eles estão protegidos por um outro Iptables. Mas você estará considerando que os possíveis atacantes internos são menos perigosos.
Se for uma máquina independente, devo colocar em que posição ? a) Na frente do IPTABLES ? b) Atras do IPTABLES ? c) Ou posso coloca-la somente na frente da DMZ ?
Neste caso, você não analisará o tráfego da LAN. Depende das suas prioridades. Pode tb colocar uma bridge em cada segmento. Mas não vai analisar as pauladas que o Iptables está levando. Acho que não é a melhor topologia. []s Eriberto - www.eriberto.pro.br
