¿Puedo ejecutar Snort en una computadora lenta?

Navega tus respuestas
0

Estoy intentando usar un dispositivo con 1 GB de RAM y una CPU central de 800 MHz.
Usaré Snort para analizar el tráfico en mi red LAN. Snort, desafortunadamente, no puede analizar todo el tráfico (a veces dispara una alerta después de un disparador, a veces no).

  • ¿Hay una manera de decir "Analizar X Mbps de tráfico", de lo contrario, deje que el tráfico fluya?
  • ¿Puede decirme dónde puedo obtener una lista de RuleSet "reducido" con solo los más terribles ataques? Ahora mismo solo uso el conjunto de reglas CRÍTICO
  • ¿Puede FWSNORT ser una buena alternativa?
pregunta Echoes_86 23.06.2017 - 13:22
fuente

1 respuesta

1

Todo depende de la cantidad de tráfico que intenta monitorear, pero el factor más importante de toda su configuración real.

Hay algunas acciones que puede hacer para mejorar el rendimiento de su configuración

  • Limite el alcance del tráfico que se va a monitorear.
  • Optimice su configuración de Snort / Suricata. Es probable que Suricata no te dé muchos extras ya que es de múltiples subprocesos y solo tienes un núcleo de CPU.
  • Como usted mismo mencionó, la cantidad de reglas implementadas en su sensor tiene un fuerte impacto en el rendimiento. No tengo conocimiento de ningún conjunto de reglas limitado, pero usted mismo puede deshabilitar reglas innecesarias. Hay muchos administradores de conjuntos de reglas diferentes como Polman , PulledPork . Estos son bastante antiguos, y podría haber software / ayudantes más útiles para estas tareas disponibles.
  • Optimizaciones de nivel de SO

Estoy de acuerdo con los comentarios anteriores, que desea más memoria RAM, núcleos de CPU, NIC fuertes (al menos dos) y potencialmente incluso GPU para aprovechar al máximo la configuración de su sensor.

    
respondido por el William Sandin 24.06.2017 - 13:20
fuente

Lea otras preguntas en las etiquetas

¿Procesando datos confidenciales del usuario en un servidor sin la posibilidad de robo de datos? Mallory deja de capturar con falla de segmentación Debug: UDPprotocol [m]?