Можно ли использовать Suricata в качестве эффективного IPS на одном сервере?

Question

Можно ли использовать Suricata в качестве эффективного IPS на одном сервере?

Я искал эффективную систему предотвращения вторжений (IPS) для сервера Ubuntu 14.04, что-то вроде того, что Symantec или F-Prot могли бы предложить для сервера Windows. Я связался с крупными компаниями, которые утверждают, что поддерживают продукты для Ubuntu и других дистрибутивов Linux, но в конечном итоге они являются только антивирусами и не предлагают никакой защиты от известных уязвимостей.

Я нашел документацию по Snort и Suricata в сочетании с менеджерами правил, такими как PulledPork и OinkMaster, но когда я углубился в это, мне показалось, что они должны были превратить сервер в выделенное аппаратное решение IPS для сети.

Можно ли использовать Suricata на существующем веб-сервере, чтобы просто обеспечить защиту от вторжений на этот сервер?
Существует ли образец конфигурации для этого сценария?
Будет ли это замедлять работу так, чтобы это было нецелесообразно?

2

ubuntu web-server snort ids ips

Источник

Christopher Hinkle 22 июн '17 в 17:14

1 ответ

Другие вопросы по тегам ubuntu web-server snort ids ips

Marco Bompani 22 июн '17 в 18:22 2017-06-22 18:22 · Answer 1 · 2017-06-22 18:22

Вы определенно можете использовать Suricata в качестве ips на своем веб-сервере, но в целом это не очень хорошая идея.

Может быть, идентификаторы на основе хоста лучше для такой ситуации. Попробуйте посмотреть на Ossec ( https://ossec.github.io/). Ossec свободен и очень легок.