Системы обнаружения вторжений

0

1

Привет всем!
Такой вопрос.
Есть сервер. В нем 3 интерфейса:
1. eth0 - LAN (юзера из локалки, которые пользубтся интернетом через NAT)
2. eth1 - провайдер 1
3. eth2 - интерфейс, через который по pppoe поднимается ppp0 второго провайдера.

Есть iptables с политикой DROP по всем цепочкам.
Разрешены только определенные адреса и порты.
На этом сервере в мир открыты только 2 сервиса: ssh и openvpn.

Стоит ли использовать какие-либо системы обнаружения вторжений либо ставиить какой-либо софт по обнаружению сканирования портов.

У всех мнения расходятся. Кто говорит, что если стоит фаервол с политикой по умолчанию дроп - то не нужно заморачиваться с такими системами.

Если нужно - то посоветуйте пожалуйста систему.
На данный момент поставил snort...настроил....не не вижу особого смысла пока использования её.

Спасибо!

Ссылка

←	Как правильно mirror'ить GIT репозиторий?

simple Samba vs. f..n Vista roam.profiles

→

Ну поставь tripwire еще, если паранойя мучает :)

madgnu ★★★★★
(08.10.10 15:17:19 MSD)

Ссылка

Внимание, обнаружена неуглеродная форма жизни, внимание обнаружена неуглеродная форма жизни, всем членам экипажа срочно покинуть станцию, срочно покинуть станцию.

anonymous
(08.10.10 15:18:10 MSD)

Ссылка

я забил. Только это не значит что в ssh или openvpn не может быть уязвимостей. Или в ядре.

Грамотная политика безопасности(и всякие там selinux итп) делают бесполезным взлом многих сервисов т.к. прав не хватит на совершение вредоносных действий. А если бага в ядре серьёзная то какой-нить tripware не поможет.

anonymous
(08.10.10 15:25:16 MSD)