[LUGOS] IDS

Iztok Umek iztok at si-con.com
Thu Jul 1 04:37:29 CEST 2004


On 6/30/2004 10:15:39 PM, lugos-list at lugos.si wrote:
> In the message I received, Iztok Umek writes:
> 
> >>     Rad bi postavil IDS. V mislih imam snort. Zanima me ali je izbira
> >> prava ter ali so kak¹ni dobri manuali na to temo.
> >>
> >
> >Ce se gres "free" varianto, ti kaj drugega ne ostane. SNORT ima pac
> svoje
> >pomanjkljivosti glede na to, da je "signature based" IDS.
> 
> Hja, so tudi drugi, kot sta naprimer Bro in Shadow. Je pa res, da je
> Snort najbolj popularen, kar se tice zastonj variant.
> 
> In kaksne pomanjkljivosti vidis pri 'signature based' IDS?

Signature based je stara tehnologija, ki se pocasi zamenjuje. ManHunt je bil med pionirji nove tehnologije (uporabljamo ze nekaj let), ISS pa je sploh vodilni na podrocju IDS in IPS (ISS uporabljamo skoraj leto dni).

Problem pri signature based je v tem, da moras cakati na nove vzorce. So vedno retroaktivni in ne proaktivni. Pa se problmm imas, ker je vedno vec vzorcev in moras za analizo uporabljati vedno vec CPU casa.

> 
> >Za komercialno rabo bi predlagal ISS ali ManHunt.
> 
> In zakaj ta dva? Zakaj ne kak NFR, Enterasys Dragon, SourceFire, Ciscov
> IDS, Netscreen IDS, ...?

Predvsem zaradi lastnih izkusenj in izkusenj kolegov, ki se s tem podrocjem ukvarjajo(mo) ze nekaj let. Ce hoces biti v prednosti, ti vsekakor priporocam Preventio (ISS produkt). Svet gre cedalje bolj proti IPSom kot novi tehnologiji. Poleg vsega, je X-Force tista stvar, ki daje obcutno prednost ISS pred vsemi ostalimi.

Sedaj bom koncal, ker stvar ni vec Linux. Vsem se opravicujem.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20040630/2223ce02/attachment-0001.htm


More information about the lugos-list mailing list