[LUGOS] IDS

[Saso]

In the message I received, "Iztok Umek" writes:

[Prestavljeno na LUGOS-Sec]

>Signature based je stara tehnologija, ki se pocasi zamenjuje. ManHunt je =
>bil med pionirji nove tehnologije (uporabljamo ze nekaj let), ISS pa je =
>sploh vodilni na podrocju IDS in IPS (ISS uporabljamo skoraj leto dni).

In kaj je ta nova tehnologija? Kako deluje? Kaj je prednost pred staro
tehnologijo?

>Problem pri signature based je v tem, da moras cakati na nove vzorce. So =
>vedno retroaktivni in ne proaktivni. Pa se problmm imas, ker je vedno =
>vec vzorcev in moras za analizo uporabljati vedno vec CPU casa.

Ampak problem vedno vecih vzorcev se lahko resi tako, da nalozis le
tiste, ki so smiselni. Naprimer, ce je IDS postavljen na mrezi, kjer ni
Windows streznikov, potem ni treba naloziti vseh vzorcev, ki so za razne
Windows buge. Ali ni tako?

>> >Za komercialno rabo bi predlagal ISS ali ManHunt.
>>=20
>> In zakaj ta dva? Zakaj ne kak NFR, Enterasys Dragon, SourceFire, =
>Ciscov
>> IDS, Netscreen IDS, ...?
>
>Predvsem zaradi lastnih izkusenj in izkusenj kolegov, ki se s tem =
>podrocjem ukvarjajo(mo) ze nekaj let. Ce hoces biti v prednosti, ti =
>vsekakor priporocam Preventio (ISS produkt).

In kaksna je prednost tega ISS produkta pred ostalimi? A ni ISS IDS se
vedno "signature based"?

>                                             Svet gre cedalje bolj proti =
>IPSom kot novi tehnologiji. Poleg vsega, je X-Force tista stvar, ki daje =
>obcutno prednost ISS pred vsemi ostalimi.

In kaksna je prednost IPS pred IDS? In se eno vprasanje, ce lahko:
kaj/kdo so X-Force in zakaj dajejo obcutno prednost ISS?

LP,

Saso