[LUGOS-SEC] Re: [LUGOS] IDS
Iztok Umek
iztok at si-con.com
Fri Jul 2 14:58:19 CEST 2004
Saso <Saso at VSecureIT.net> said:
> In the message I received, "Iztok Umek" writes:
>
> [Prestavljeno na LUGOS-Sec]
>
> >Signature based je stara tehnologija, ki se pocasi zamenjuje. ManHunt je =
> >bil med pionirji nove tehnologije (uporabljamo ze nekaj let), ISS pa je =
> >sploh vodilni na podrocju IDS in IPS (ISS uporabljamo skoraj leto dni).
>
> In kaj je ta nova tehnologija? Kako deluje? Kaj je prednost pred staro
> tehnologijo?
Nova tehnologija bazira na prepoznavanju anomalij protokolov. V bistvu sta tako
ManHunt, kot ISS hibrida in imata nekaj malega tudi vzorcev. ISS je bil verzijo
nazaj "signature based", sedaj pa je "anomaly based".
Preden nadaljujem: Nisem prodajalec ne ene ne druge tehnologije, zgolj uporabnik.
> Ampak problem vedno vecih vzorcev se lahko resi tako, da nalozis le
> tiste, ki so smiselni. Naprimer, ce je IDS postavljen na mrezi, kjer ni
> Windows streznikov, potem ni treba naloziti vseh vzorcev, ki so za razne
> Windows buge. Ali ni tako?
Sicer je tako, ampak koliko sistemov imas, kjer pokrivas mesano okolje? Primer
pri nas. Imamo Linux in Windows, J2EE (JBoss), Apache, IIS, Oracle, Postgres,
Nokia, CheckPoint etc...
> In kaksna je prednost tega ISS produkta pred ostalimi? A ni ISS IDS se
> vedno "signature based"?
Ne ISS IDS/IPS ni vec "signature based" oz. vsaj vecinsko.
http://www.iss.net/products_services/enterprise_protection/proventia/g_series.php
> In kaksna je prednost IPS pred IDS? In se eno vprasanje, ce lahko:
> kaj/kdo so X-Force in zakaj dajejo obcutno prednost ISS?
http://xforce.iss.net/
X-Force je varnostni razvojni team. Od tam crpa veliko znanja tudi ostali v
varnostni srenji (tudi SNORT).
BTW: sorry za pozen odgovor, sem sele v sluzbo prisel (9. zjutraj).
More information about the lugos-sec
mailing list