วิธีการทำ snort and IDS

อยากทราบวิธีการทำ snort and IDS ค่ะ
ว่าทำยากไหม คือต้องการทำโปรเจคส่งค่ะ
แล้วเวลาก็มีไม่มาก ตอนนี้อยู่ในช่วงเสนอหัวข้อค่ะ

แล้ว snort and IDS นี่ทำใน windows ได้หรือเปล่า
เพราะเคยเห็นว่าทำใน linux

ถามผู้รู้หน่อยนะคะ ถ้าจะให้ดีก็ช่วยแนะนำหัวข้อเกี่ยวกับ
security ด้วยนะคะ

ปล.ไม่ใช่โปรเจคจบไม่ได้ใหญ่มากค่ะ
มีเวลาทำไม่กี่วัน ช่วยแนะนำด้วยนะคะ

ขอบคุณล่วงหน้าค่ะ

ไม่ยากครับ.. แต่ขั้นตอนเยอะเท่านั้นเอง..
ทำบน windows หรือ linux ก็ได้
บน windows จะง่ายและสะดวกหน่อยนึง

วิธีการลง คงไม่แนะนำในที่นี้ ควรศึกษาเอง คู่มือเยอะแยะครับ

Snort IDS เป็นการตรวจจับข้อมูลใน network อย่างเดียว และทำการ alert หรือแจ้งเตือน
ในสิ่งผิดปกติที่เราได้กำหนดไว้

ในส่วนโปรแกรม Snort + MySql ก็ลงและ Config ไปตามปกติ
แนะนำให้ใช้ 2 Network หรือ 2 Card LAN
1. เอาไว้ตรวจจับข้อมูลใน Network
2. เอาไว้ Manage หรือ Monitor ข้อมูล และวิเคราะห์

ในส่วนของ Network นี่ก็สำครับ การเอา Snort IDS ไปปลั๊กเข้า Network เลย
รับรอง.. ไม่ได้ข้อมูลที่ถูกต้องครบถ้วน เพราะปัจจุบันอุปกรณ์เป็น Switch หมดแล้ว
หา hub ใช้ก็อาจจะยาก คือต้องทำการ Config ที่อุปกรณ์ switch เป็น mirror port
ให้กับ port ที่ Snort ปลั๊กอยู่ด้วย .. ตรงนี้ไปศึกษาต่อ

สำหรับเครื่องที่จะใช้ run snort นั้น ต้องพิจารณาที่ปริมาณข้อมูล และขนาดของ Network ด้วย
เป็น SME, Campus หรือ Bisuness Enterprise .. มีผลมาก
หากเอาแค่โปรเจคผ่าน PC ก็ใช้งานได้ และจำลอง network แยกวงต่างหาก..
แต่คุณจะไม่ได้ข้อมูลแปลก ๆ ที่จะทำให้เป็นความสามารถของ snort ได้
มันต้องลองกับ network จริง ๆ ที่มีพวกผู้ใช้งาน ซน ๆ มีโปรแกรมแปลก ๆ ใช้งาน
มี virus วิ่งไปวิ่งมา (scan network)

ที่ทำงานผมใช้ Snort IDS บน Linux + MySql และ Access เข้าไปดูแลจัดการผ่าน Web
มี 2 Card Lan อันนึงต่อเข้า Core Switch ที่ทำ mirror port ไว้ เพื่อให้ข้อมูลทั้งหมด
ที่วิ่งอยู่ใน network (ของ PC+Server 3,000 กว่าเครื่อง) ส่งมาที่ port ของ Snort นี้ด้วย
ซึ่งแน่นอน ปริมาณข้อมูลมหาศาล เครื่อง IBM Server ที่ใช้ xeon cpu ยังหนืด ๆ พอสมควร

สุดท้าย ก็เป็นเรื่อง signature update และการวิเคราะห์ของคน
Snort IDS ไม่ใช่ของวิเศษ หรือฉลาดพอที่จะทำงานเองแบบอัตโนมัติ
มันทำหน้าที่เก็บ และกรองเฉพาะข้อมูลผิดปกติ แล้วทำการแจ้งเตือนเราเท่านั้น
มันไม่ทำการป้องกันใด ๆ ทั้งสิ้น...

ถ้า Snort IDS แน่นแล้ว การไปต่อยอด IPS .. ไม่ยากเลยครับ..


งานด้าน security มันขยายตัว และกว่างมากสำหรับปัจจุบัน..
Intrend หน่อยตอนนี้ก็ Centralize Log Management อันนี้ มันส์ พอ ๆ กับ IDS ครับ
ลองประเมินดูครับ ว่าไหวหรือไม่ สำคัญที่เวลา และกางวางแผนของเราครับ .. โชคดีนะครับผม

ขอบคุณอีกครั้งนะคะ
แต่เท่าที่ฟังมานี่ก็ยากพอดูเลยนะคะเนี่ย
แล้วมันก็ต้องใช้ฐานข้อมูลด้วย น่าจะยุ่งยากน่าดู
แล้วก็มีเวลาไม่มากด้วยค่ะ ต้องพีเซ็นต์วันอาทิตย์นี้แล้วด้วย
แล้วที่พี่บอกว่ามันต้องลองกับ network จริงๆด้วย
นี่ยิ่งไม่ไหวใหญ่เลยค่ะ พี่ลองคิดภาพผู้หญิงสี่คนที่ไม่
ค่อยรู้เรื่องพวกนี้เลยขนาดแลนกันเองยังเจอไม่ครบทุกเครื่องเลยค่ะ บอกได้ว่าคงวุ่นน่าดู

แต่จะลองเอากลับไปคิดดูค่ะ
ปล.แล้วถ้าเป็นแค่พวก recover ข้อมูลนี่จะดีกว่าไหมคะ

ถ้าอาทิตย์นี้ก็ลืม Snort ไปได้เลยครับ..

ส่วนแนวคิดการ Recovery ข้อมูล .. ก็พอได้นะ เพียงแต่จะเอามุมมอง หรือขอบเขตแค่ไหน
1. Recovery Database System
2. Recovery Files System
3. Recovery Data File

ถ้าไม่ใช่งาน Project อย่างที่บอก และนำเสนอในแง่ Presentation อย่างเดียว..
โดยไม่มี Demo ก็น่าจะพอไหวนะ.. 4 คน สมอง.. มีลุ้นครับ

ก็ไม่ได้พี่เซ็นต์ power point อย่างเดี่ยวหรอกคะ่
อาจารย์ให้แสดงวิธีทำให้ดูด้วยนะค่ะ
แล้ว recover นี่ก็เอาแค่เป็น ไฟล์ เป็นไดรฟ์ ธรรมดาก็พอค่ะ
ไม่ต้องถึงกับทั้งระบบ ถ้าอย่างงั้นก็หนักอีก

ตอนนี้ที่คิดได้ก็ recover ข้อมูล
ป้องกันการลบไฟล์อะไรพวกนี้แหละค่ะ

ตอนนี้ทำบน windows แต่ต่อไปต้องทำบน linux
ก็ยังไม่รู้จะทำอะไรดีค่ะ snort จะไหวไหมคะ
แล้วอีอย่างที่คิดได้ก็เป็นพวก hardening ค่ะ
แต่ว่าจะทำบน linux ไม่รู้ว่าจะยุ่งยากหรือป่าว
แบบว่าไม่ค่อยไว้ใจ linux เลยค่ะ
ครั้งก่อนทำ LDAP กันแล้ว ก็ทำไม่ได้

ขอบคุณสำหรับคำำแนะนำนะคะ
ไม่เสียแรงที่เข้ามาที่นี่เลยค่ะ

เอาง่ายๆ เลย ก็น่าจะไปโหลด SNORT ที่เขาทำสำเร็จแล้วบน VMWare ครับ ลองไปดูพวก virtual appliance ผมจำได้ว่ามีอันนึงครับ หาคู่มือมาอ่านก็ใช้ได้แล้ว แถมใช้ PC กับ server เป็น VMWare ด้วยก็ได้ จะได้ใช้เครื่องเดียวทำทุกอย่างเลยครับ