dimss Posted February 27, 2020 Report Posted February 27, 2020 Salut, Pentru o buna vreme am folosit OSSEC de care am fost multumit. Isi facea treaba cu un impact mic asupra performantelor serverelor(cam 25 de bare-metal bazate pe Debian). Am descoperit ca niste devi de la OSSEC au migrat si l-au forkuit creand Wazuh care vine ca o evolutie a OSSEC-ului prin adaugarea si integrarea ELK stack in solutie. Am testat Wazuh dar mi se pare cam resource heavy fara un beneficiu clar daca nu ai mii de servere la care trebuie sa le faci securitatea. Are cineva experienta cu vreunul din cele doua? Cum vi se par? Ce alte solutii IDS/IPS folositi ? Quote
dimss Posted February 27, 2020 Author Report Posted February 27, 2020 Multumesc pentru disponibilitate si o sa apelez cu incredere daca ma lovesc de ceva insurmontabil dar eram mai mult curios de experienta altor persoane din domeniu ca poate invatam ceva nou(Wazuh l-am descoperit din greseala) Sunt destul de familiar cu ELK si cu OSSEC iar Wazuh pare destul de usor de manevrat iar inainte sa deranjez lumea de obicei ma duc sa RTFM. Btw... O fi masina virtuala... dar ce resurse are? 32 GB RAM ? 8 vCPU? Cat ai alocat JVM-ului din ElasticSearch&Kibana? Eu intrebam si pt un use-case mai slab, gen infra de acasa unde ca router am un HP cu i5, 8 GB RAM(stiu ca e overkill pt router dar are mai multe roluri) Alt IPS/IDS, care sa iti fi placut, ai rulat? (in afara de fail2ban&sshguard) Suricata? Snort? Eu le-am incercat de pe OPNsens&pfSense dar a trebuit sa renunt la ele din 2 motive. Primul era UFS-ul FreeBSD-ului care la intreruperi de curent se corupea si trebuia sa duc monitor&tastatura la unitate sa il fac sa booteze iar al 2lea motiv era impactul de performanta la nivelul retelei. Din 1000 mbps teoretic (950 practic) ajunsesem la 300 mbps. Quote
