Security
積極與消極監測
關注監控有一段時間了。在我來之前,我的組織沒有任何東西,除了“我的雅虎去哪兒了”。似乎大多數軟體包都專注於負面監控(即,此服務/主機已啟動,但現在未啟動)。這似乎是一個有效的第一步,但是你能看到什麼過去的積極監控(即那個埠沒有啟動,現在它啟動了,或者嘿,看起來那是一個新的 DHCP 主機)?我想它可以為 nagios 中的每個埠/網路地址聲明一個聲明,但這似乎很麻煩。
有誰知道一個更好的工具來監控埠/主機以肯定地關閉?
為此,我們使用 nmap。我們有一個簡單的腳本包裝 nmap,它掃描我們的整個網路並儲存 XML 輸出。第二天晚上它再次執行並比較輸出。如果出現任何新主機或埠,則會向管理員發送一封電子郵件。
剛剛發布的 Nmap 5.0 包含一個用於此目的的實用程序,稱為Ndiff。
對於您了解的主機,Nagios/Zenoss/OpenNMS 是您最好的選擇——它們可以配置為在主機和/或服務關閉或恢復時發出通知。他們大多足夠聰明,不會在主機本身宕機時開始提醒主機上的所有服務;正確配置這些東西很重要,這樣您就不會因為伺服器重新啟動而被 20 個警報淹沒。如果有那麼多關於瑣碎事情的資訊,遲早你會最終忽略它並遺漏一些重要的東西。
對於你問題的後半部分,凱瑟琳是對的;您正在查看入侵檢測系統 (IDS)。這些可以配置為了解您的網路在主機、拓撲、流量類型等方面應該是什麼樣子,然後在您定義為“普通”之外的任何事情發生時提醒您。Snort和OSSEC就是幾個例子。