<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1400" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV>On 6/30/2004 10:15:39 PM, <A 
href="mailto:lugos-list@lugos.si">lugos-list@lugos.si</A> wrote:<BR>&gt; In the 
message I received, Iztok Umek writes:<BR>&gt; <BR>&gt; 
&gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp; Rad bi postavil IDS. V mislih imam snort. 
Zanima me ali je izbira<BR>&gt; &gt;&gt; prava ter ali so kakšni dobri manuali 
na to temo.<BR>&gt; &gt;&gt;<BR>&gt; &gt;<BR>&gt; &gt;Ce se gres "free" 
varianto, ti kaj drugega ne ostane. SNORT ima pac<BR>&gt; svoje<BR>&gt; 
&gt;pomanjkljivosti glede na to, da je "signature based" IDS.<BR>&gt; <BR>&gt; 
Hja, so tudi drugi, kot sta naprimer Bro in Shadow. Je pa res, da je<BR>&gt; 
Snort najbolj popularen, kar se tice zastonj variant.<BR>&gt; <BR>&gt; In kaksne 
pomanjkljivosti vidis pri 'signature based' IDS?</DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Signature based je stara tehnologija, ki se pocasi 
zamenjuje. ManHunt je bil med pionirji nove tehnologije (uporabljamo ze nekaj 
let), ISS pa je sploh vodilni na podrocju IDS in IPS (ISS uporabljamo skoraj 
leto dni).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Problem pri signature based je v tem, da moras 
cakati na nove vzorce. So vedno retroaktivni in ne proaktivni. Pa se problmm 
imas, ker je vedno vec vzorcev in moras za analizo uporabljati vedno vec CPU 
casa.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT><BR>&gt; <BR>&gt; &gt;Za komercialno rabo bi 
predlagal ISS ali ManHunt.<BR>&gt; <BR>&gt; In zakaj ta dva? Zakaj ne kak NFR, 
Enterasys Dragon, SourceFire, Ciscov<BR>&gt; IDS, Netscreen IDS, ...?<BR></DIV>
<DIV>Predvsem zaradi lastnih izkusenj in izkusenj kolegov, ki se s tem podrocjem 
ukvarjajo(mo) ze nekaj let. Ce hoces biti v prednosti, ti vsekakor priporocam 
Preventio (ISS produkt). Svet gre cedalje bolj proti IPSom kot novi tehnologiji. 
Poleg vsega, je X-Force tista stvar, ki daje obcutno prednost ISS pred vsemi 
ostalimi.</DIV>
<DIV>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Sedaj bom koncal, ker stvar ni vec Linux. Vsem se 
opravicujem.</FONT></DIV></BODY></HTML>