[LUGOS-SEC] Re: [LUGOS] IDS

[Iztok Umek]

> In zakaj potem ISS na veliko razglasa, da nova verzija IDS (RS 7.0) zdaj
> celo razume Snort recepte, ce je njihov interni razvojni tim tako mocan?

tole bo odgovor na nekaj tvojih postov.

1. Zakaj je SNORT slabsi od ISS je na netu ze nekajkrat napisano. Tudi
Marty Roesch to posredno priznava, ko sedaj snuje novo verzijo.

2. Hitrost analize: Jaz imam "pipco" verjetno vecjo kot mnogo slovenskih
komercialnih podjetij (v bistvu jih je vec - 2 T1, 1 DS3 za nase pisarne in
do 100 MB burstable za produkcijo). V vseh primerih imam IDS (ManHunt, ISS,
SNORT) na 100 Mbps portu in se noben ne pritozuje.

3. Enostavnost delovanja v praksi. Od vseh je postavitev in tuning najbolj
kompliciran pri SNORTu. Vzel mi je kar veliko casa. Bi si nekako upal reci,
da nekaj dni vs. nekaj tednov.

4. Ce imas cas in zeljo se ukvarjati (beri, nimas poleg tega sluzbe, ki
dejansko potrebuj 8 ur dela na dan), potej je SNORT dokaj dobra varianta.
Jaz pac pri $1500 na dan nimam casa, da bi se nekaj tednov ukvarjal s
SNORTom. Je bolj efektivno (in ceneje) postaviti ManHunt ali ISS.

5. Vsaka situacija, kjer implementiras varnostne resitve je drugacna in
projekt pac ustrezno zastavis. Univerzalnega recepta ni.

6. Dost na to temo, grem sedaj zacenjat priprave za praznovanje drzavnega
praznika (4. julij).