3 votos

Positiva vs negativa seguimiento

He estado buscando en seguimiento por un tiempo. Mi organización no tiene ninguna antes de que yo llegara otra que 'whered mi yahoo go'. Parece que la mayoría de los paquetes de centrarse en la negativa de monitoreo (es decir, este servicio/host fue y ahora no). Esto parece válido primer paso, pero ¿qué se puede mirar el pasado que para los positivos seguimiento (es decir, que el puerto no era, y ahora es, o hola mira eso es un nuevo DHCP host)? Supongo que es posible tener una declaración para cada uno de los puerto/dirección de red nagios, pero que parece engorroso.

¿Alguien sabe de una mejor herramienta para el monitoreo de puertos/hosts para afirmativamente abajo?

4voto

RainyRat Puntos 3525

Para los hosts que ustedes conocen, Nagios/Zenoss/OpenNMS son su mejor apuesta que se puede configurar para notificar cuando los anfitriones y/o servicios, o vienen de vuelta. La mayoría son lo suficientemente inteligentes como para no empezar a alertar acerca de TODOS los servicios en un host si el propio host de down, así; es importante para configurar este tipo de cosas correctamente, así que no te lluevan con 20 alertas debido a que reiniciar el servidor. Si no hay mucha información sobre cosas triviales, tarde o temprano vas a terminar bastante haciendo caso omiso de ella y le falta algo importante.

Para la segunda mitad de su pregunta, Catalina derecho; usted está buscando en un Sistema de Detección de Intrusiones (IDS). Estos pueden ser configurados para saber lo que la red debería ser en términos de los ejércitos, la topología, los tipos de tráfico, y así sucesivamente, luego de la alerta que si otra cosa de lo que ha definido como "normal" que sucede. Un par de ejemplos serían Snort y OSSEC.

2voto

Catherine MacInnes Puntos 1651

Lo que usted está buscando no es realmente control tanto como lo es la seguridad. Yo no soy un experto en seguridad, pero hay un número de red escaneo herramientas por ahí que se le pueden "enseñar" qué esperar y entonces decir si algo es fuera de lo común.

1voto

Tom Puntos 26

Nosotros usamos el nmap. Tenemos un sencillo script envoltura nmap que escanea nuestra red y almacena la salida XML. La noche siguiente se ejecuta nuevamente y compara la salida. Si cualquier nuevos huéspedes o los puertos presenta, se envía un correo electrónico al personal de la admin.

El recién publicado Nmap 5.0 incluye una utilidad para sólo ello llamado Ndiff.

1voto

Mei Puntos 2795

Para sus preguntas específicas, algo así como arpwatch utilizaría para ver cambios en direcciones de ARP y portsentry para cualquiera que intente conectarse a los puertos no utilizados. Puede utilizar otras herramientas.

Estas herramientas pueden integrarse después en un control activo o pasivo para Nagios.

0voto

Jeff Lake Puntos 461

Nagios incluye una amplia gama de plugins y módulos para monitoreo activo/intrusivo y vigilancia pasiva. Debe incluir todo lo que necesitas!

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: