[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: /dev/bpf0 not configured, E non posso ricompilare il kernel!!!
Mittente: Igor Falcomata'
Data: 4 Jan 2000 23:51:38 -0000
Fabio Pietrosanti wrote:

> ciao gente!!!
> che mlist affollata :p

beh, si fa quel che si puo' :)

> ho la necessita di montare qualche software di NIDS (nel mio caso Snort ed
> NFR), su una macchina che fa' load balancing per alcuni nostri servizi...
> Peccato che sia un FreeBSD 2.2.8 con kernel modifcato dalla coyotepoint
> (www.coyotepoint.com) per fare sto Ca**o di load balancing.

senti il supporto di sti tizi e digli che ti serve il bpf :)

> ora.... Visto che non posso ricompilare il kernel perche e' proprietario...
> esiste un qualche altro modo affinche io possa utilizzare sopra questa box
> software Snort-Like ?

personalmente (anche se e' un argomento + da ml@ che da openbsd@,
consiglio di mettere l'IDS separato dai server: una macchina con snort,
nfr meglio (se hai i $$), tcpdump e quel che e' PRIMA di tutto il
discorso, ovvero tipo:


+--------+
| router |
+--------+
    |
 +------+
 |hub ns|
 +------+
   |  |     +---------+
   |  +-----| cluster |
   |        +---------+
   |
 +-----+
 | IDS |
 +-----+

hub ns = hub non switching (puo' anche essere switching, basta che sia
configurabile in maniera di far arrivare TUTTO il traffico sull'IDS

IDS = macchina (meglio obsd :) con su snort, nfr, quelcavolochehe' (di
questo consiglio la 1.3.4.a :), meglio ancora se in modalita'
completamente passiva (ovvero senza ip), anche se questo puo' essere
scomodo se dovete fare amministrazione remota o se volete usarla per
mandare, per esempio, il syslog del router su quella macchina, etc.

Questo sistema e' + comodo dell'altro per varie ragioni:

1) l'altro non si puo' fare :)
2) in caso di buchi nell'IDS non comprometti comunque gli altri server
3) in caso di buchi nei server, non comprometti l'IDS
4) etc :)

se metti una macchina con dischi adeguati, puoi anche pensare di
sniffare o almeno tcpdumpare tutto il traffico (cancellandolo alla
bisogna)

non so dei progetti di load balancind per *bsd, comunque per linux ce
n'e' molti del genere (load balancing, high availability, etc. - cerca
"cluster" su freshmeat.net se ti interessa - ps: SI', linux e' OFFTOPIC
qui :)

bye
Koba

-- 

Igor Falcomata'
igor@infosec.it
koba@sikurezza.org
 --
Infosec srl - www.infosec.it
Network Security & Data Defense
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS



[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005