在安裝Squert的過程中,由於Squert一直不能透過git下載。
輾轉找了不少資料,最後找到Security Onion這一套很方便的工具。
簡單的來說,他整合了:Snorby/Squert/Sguil
這三者都是IDS工具的GUI,其中Snorby 不好裝,Squert連下載很難下載。
因此有人願意整合在一起,省去了一堆工,真是件好事。另外,網頁上也有很簡易就能更新的方法,真的省去很多麻煩。
不過我在安裝及測試的過程中,有遇到幾個問題:
1、非常佔資源 ,網頁介紹是建議使用1G的RAM,但我裝在Intel Core 2 Duo 2.53Ghz的CPU,並且有1G RAM的機器上,還是感覺它跑的很踹
2、無法直接套用Snort的rule檔,這邊我沒有花太多精神去try,但是直接去改他的conf檔,讓他去吃snort的rule檔是不能執行的.....
3、Snort的部份由於rule檔有被改過。因此和我平常架設的snort能抓到的sig差很多(數量比較少,有很多也看不到)。由於前述2的關係。我也沒有辦法自行修改,因此最後還是放棄這個軟體了。
不過這真的是一個很方便的工作,因此作一下記錄,說不定哪天會用到。
專案所在的網頁:
http://code.google.com/p/security-onion/
http://securityonion.blogspot.tw/
沒有留言:
張貼留言