Для упрощения протоколирования совпадающих пакетов используется действие log. Действие alert, помимо протоколирования пакета, генерирует сигнал тревоги указанным в конфигурационном файле или в командной строке способом. Очень приятная возможность Snort заключается в том, что можно иметь довольно общие правила, а затем создать из них исключение, написав еще одно правило, использующее действие pass. Это особенно удобно при [...]
Со временем широкое распространение получили коммутируемые (switched) Ethernet-сети, и совместно используемая среда больше не применяется. Таким образом, исчез основной источник проблемы. В отличие от концентраторов, Ethernet-коммутаторы отправляют трафик только на то устройство, которому он предназначен. Для этого при прохождении трафика коммутатор изучает, какому выходному порту соответствует МАС-адрес сетевого устройства. Когда коммутатор видит Ethernet-фрейм с определенным [...]
Было бы неплохо полностью фиксировать все, что происходит в сети. Полное протоколирование помогает отслеживать проблемы и просто бесценно при инциденте в системе безопасности, но оно будет занимать очень много места. Решением этой проблемы является не хранение самих данных, а протоколирование целых пакетов. Это можно сделать с помощью программы Argus (http://www.qosient.com/argus/). Argus (Audit Record Generation and [...]