[LUGOS-SEC] Re: [LUGOS] IDS

[Iztok Umek]

On 7/5/2004 3:34:22 AM, lugos-sec at lugos.si wrote:
> In the message I received, "Iztok Umek" writes:
> 
> Zivjo Iztok,
> 
> >> In zakaj potem ISS na veliko razglasa, da nova verzija IDS (RS 7.0)
> zdaj
> >> celo razume Snort recepte, ce je njihov interni razvojni tim tako
> mocan?
> 
> Se vedno nisem dobil odgovora na to vprasanje.

Kje na veliko razglasa?

Mogoce tule? http://xforce.iss.net/xforce/alerts/id/advise108 ;)

(sicer ima tudi RS svoje buge :)

Sicer je pa bi (ne poznam dejanskega vzroka) dejal, da ISS lahko uvaza SNORT vzorce zato, da ljudje lazje preidejo iz SNORTa na ISS RS.

Pa tudi zato, da ISS lahko korelira informacije iz razlicnih IDSov v enotno bazo.


> 
> >2. Hitrost analize: Jaz imam "pipco" verjetno vecjo kot mnogo slovenskih
> >komercialnih podjetij (v bistvu jih je vec - 2 T1, 1 DS3 za nase pisarne
> in
> >do 100 MB burstable za produkcijo). V vseh primerih imam IDS (ManHunt,
> ISS,
> >SNORT) na 100 Mbps portu in se noben ne pritozuje.
> 
> To, da se noben ne pritozuje se ne pomeni, da je vse v redu.
> 
> >3. Enostavnost delovanja v praksi. Od vseh je postavitev in tuning
> najbolj
> >kompliciran pri SNORTu. Vzel mi je kar veliko casa. Bi si nekako
> upal reci,
> >da nekaj dni vs. nekaj tednov.
> 
> TANSTAAFL.[1]

Res da. Ampak pri moji ceni na uro je pac stvar taka, da je bolj ugodno iti notri z ISS kot pa s SNORTom. Moje cas je tako pac bolje izkoriscen. Verjetno pa bo enkrat prisel cas, ko me bodo outsourcali v Indijo :)  ampak do takrat je (upam) se dalec. (Vsaj po mojih izkusnjah s trenutno situacijo outsourcanja v podjetju kjer delam.)

Kot sem dejal ze prej, je pac vsaka instalacija odvisna od koncnega porabnika. In vsak dober arhitekt se mora tega prav dobro zavedati.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-sec/attachments/20040705/6c5abc01/attachment-0001.html