安装的Snort是购正常运行了呢?本文中提供一些在线测试Snort的方法,确保它在你的环境中正常运行……
Sourcefire已经变更了Snort规则的许可和分布,而且创建了VRT认证规则。VRT认证规则是由Sourcefire漏洞研究小组测试和认证的。终端用户可以通过三种方法获取规则……
如果果使用Snort,就可能发现有些默认规则没有用。Snort需要像杀毒软件一样定期更新规则,每次下载新规则的时候都手动创建所有的变更不太实际……
一旦安装、配置了Snort,并已经开始工作,要考虑的下一件事情是规则。Snort规则定义了用于查找网络上潜在恶意流量的方式和标准。没有这些IDS规则……
Snort有很多配置变量和选择,但是最重要的两个是$HOME_NET和$EXTERNAL_NET。$HOME_NET是详细说明网络或者你想要保护的网络的变量,而$EXTERNAL_NET是……
Snort规则强大而灵活,而且编写相对简单。最好从VRT认证的规则开始,因为他们的编写最好,但还有其他的规则资源。如果已经下载了已有的IDS规则,就可以根据需要修改……
在决定了Snort IDS传感器使用的操作系统后,就需要配置网络。理想状态是最少有两个网络适配器(NICs)。其中一个是用于嗅探,而且应该没有编号——也就是没有分派IP地址……
确定了要安装Snort并决定了IDS传感器的位置后,必须决定网络传感器使用的操作系统。答案非常简单。决定操作系统的底线就是“使用你了解的”……
在决定安装Snort等IDS设备、确定了预算、选定了产品并理解了NIDSes(网络入侵检测系统)如何与网络架构(特别是网络交换机和VLAN),就需要确定把IDS传感器放置在哪里……
在确定了预定、选好了IDS产品后——例如Snort——需要确定你需要多少传感器,可以负担多少。在决定需要多少传感器前,必须理解Snort,或者其它的IDS只能监控他们看到的……