Posso eseguire Snort su un computer lento?

0

Sto cercando di utilizzare un dispositivo con 1 GB di RAM e una CPU core singola da 800 MHz.
Userò Snort per analizzare il traffico sulla mia rete LAN. Snort, sfortunatamente, non è in grado di analizzare tutto il traffico (a volte attiva un avviso dopo un trigger, a volte no).

  • C'è un modo per dire "Analizza X Mbps di traffico", altrimenti lascia che il flusso del traffico?
  • Puoi dirmi dove posso ottenere un elenco di RuleSet "ridotto" con solo gli attacchi terribili ? In questo momento uso solo il set di regole CRITICO
  • FWSNORT può essere una buona alternativa?
posta Echoes_86 23.06.2017 - 13:22
fonte

1 risposta

1

Tutto dipende dalla quantità di traffico che stai tentando di monitorare, ma il fattore più importante di tutta la tua configurazione attuale.

Sono disponibili alcune azioni per migliorare le prestazioni della configurazione

  • Limita l'ambito del traffico da monitorare.
  • Ottimizza la configurazione di Snort / Suricata. Suricata probabilmente non ti darà molti extra dato che è multi-thread e hai solo un core della CPU.
  • Come hai detto tu stesso, la quantità di regole implementate nel sensore ha un strong impatto sulle prestazioni. Non sono a conoscenza di alcun set di regole limitato, ma puoi disabilitare tu stesso le regole non necessarie. Esistono molti gestori di regole diverse come Polman , pulled pork . Questi sono abbastanza vecchi e potrebbero esserci più software / aiutanti utili per queste attività disponibili.
  • Ottimizzazioni del livello OS

Sono d'accordo con i commenti sopra, che vuoi più RAM, core CPU, NIC forti (almeno due) e potenzialmente anche GPU per ottenere il massimo dalla tua configurazione del sensore.

    
risposta data 24.06.2017 - 13:20
fonte

Leggi altre domande sui tag