Посоветуйте IDS для фаера

http://www.winsnort.com/
http://www.snort.org/
B поиск в гугл по Intrusion Detection Systems
Чем не устраивают простые IDS в KIS, Outpost, Comofo и др. файрволах?

Чем не устраивают простые IDS в KIS, Outpost, Comofo и др. файрволах? »

неустраивают потомучто нужна надежная защита. кис-антивирь, оутпост-закрывает порты(про комодо доже и неговорю) нужна оптимальная ids которая показывала бы попытки сканирования открытых портов, чтоб их прикрыть

ники, попытки сканирования портов и вышеуказанные файеролы показывают, все зависит от того как вы настроите правила, хотите большего ставьте SNORT, он работает на более низком уровне, но логи вам придется тоже вручную смотреть и анализировать.

Pili, а что можешь сказать насчет portsentry и iplog?

ники, не настраивал и не использовал.

какую софтину можно использовать для
сканирование сети и собирания сведений об установленных и отсутствующих обновлениях, уязвимостях, устройствах USB, открытых портах, слабых паролях, пользователях?

насчет portsentry »
эта софтина больше похожа на honeypot, то есть ловушку для хакеров (имитирует деятельность на определенных портах, например, 80-м, но реально там ничего нет, конечно :biggrin: )

эта софтина больше похожа на honeypot, то есть ловушку для хакеров » СПС

хацкеры всерьез заставляют задуматься о безопасности системы, хотелось бы чтобы знающие люди подтянулись. плиз

антивир и фаервол это еще незащита, а только мишени, как можно защитить антивирь и фаервол от изменений в длл-ках и баз сигнатур?
Если после установки этих продуктов установить пароли на папки например С\Program Files\Kaspersky Lab установить пароль на Kaspersky Lab можно ли говорить о том что малварь не пасадит в антивирь кейлогер, как обычно бывает или проведет с ним других монипуляции?

хацкеры всерьез заставляют задуматься о безопасности системы »
как писал Крис Касперски, "IDS для нормального админа не нужны и даже вредны", при нормальной настройке файерволла и заплатках системы, разумеется. В чем-то он прав -90% атак это известные скрипты и эксплоиты, которым в патченой системе делать нечего. Другое дело- эксклюзивные атаки, алгоритм которых знает только сам атакующий, для анти-хак-системы такие атаки незнакомы, соответственно, они не распознаются и не блокируются.
Кстати о portsentry (http://www.opennet.ru/docs/RUS/portsentry/)

ники, В данном случае IDS на домашнюю систму ставить нет смысла. Если вам нужна доп. защита, смотрите в сторону HIPS, например DefenseWall (платная) или бесплатной Real-time defender и др. HIPS (в поиск)
IDS для нормального админа не нужны и даже вредны »
И не только вредны, но даже полезны :) На шлюзе (отдельно) до брандмауэра и после него уже в ДМЗ зоне. Только анализ логов - дело зачастую не благодарное )
Другое дело- эксклюзивные атаки, алгоритм которых знает только сам атакующий, для анти-хак-системы такие атаки незнакомы, соответственно, они не распознаются и не блокируются. »
Этим занимается обычно блок обнаружения аномалий (обычно страдает большим кол-ом ложных срабатываний), по логам затем может принматься решение вносить такую сигнатуру атаки для блокирования или нет (например snort в своей время можно было интегрировать с уже ушедшим в прошлое blackice firewall)

анализ логов - дело зачастую не благодарное » и т.к. он
обычно страдает большим кол-ом ложных срабатываний »
- вывод? Нужен администратор с серьёзным уровнем подготовки, но такой специалист, как правило, может обойтись и без IDS, не нагружая систему, фактически, дублирующим сервисом.

ЗЫ, Собственно атаки, по статистике, составляют небольшой процент, а вот использование дыр в настройках и взлом примитивных паролей - основная проблема. Один SQL-inject чего стОит :biggrin: . Но на него не обращают внимания, как правило. А зря - запрос к SQL не трактуется как атака, надо анализировать логи самостоятельно. Но если человек может вручную анализировать лог, то и прикрыть такую дырищщу он тем более сможет (сам, без использования стороннего софта)

dmitryst, кол-во ложных срабатывания для конкретной ИС можно постепенно снижать, внося сигнатуры в исключения, или ещё лучше детектировать атаки только по определенным портам, напр. на порт 80 для веб сервера (в Snort это все гибко настраивается, а сигнатуры довольно часто обновляются часто, плюс свои сигнатуры можно вписывать), IDS можно ставить непосредственно перед самим веб сервером. И потом, можно собирать статистику, говорить, что нужны такие-то меры защиты, обосновывать затраты и предлагать решения руководству (иногда финансирования добиться) :) В некоторых продуктах, напр. cisco pix, ids уже есть, для крупных организаций применение IDS обоснованно. Например можно создать правила для детекта червя kido. Для домашнего использования, имхо, достаточно персональных firewall.
Для общего развития, кому-то м.б. полезно Intrusion Detection Systems ( IDS ) (http://www.citforum.ru/security/internet/firewalls_ids/)

обосновывать затраты и предлагать решения руководству »
тут можно вообще показать листинг сканирования портов :biggrin:

напр. на порт 80 для веб сервера »
по статистике, "бажных" сервисов обычно бывает много :)

Например можно создать правила для детекта червя kido »
можно

как укрепить границы? »
Почитайте
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517)
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) (http://secunia.com/vulnerability_scanning/online/)
враг уже внутри(малварь). »
Тогда вам сюда (http://forum.oszone.net/thread-98169.html)