
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">

<META content="MSHTML 6.00.2800.1400" name=GENERATOR>

<STYLE></STYLE>

</HEAD>

<BODY bgColor=#ffffff>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV>On 7/5/2004 3:34:22 AM, <A 

href="mailto:lugos-sec@lugos.si">lugos-sec@lugos.si</A> wrote:<BR>&gt; In the 

message I received, "Iztok Umek" writes:<BR>&gt; <BR>&gt; Zivjo Iztok,<BR>&gt; 

<BR>&gt; &gt;&gt; In zakaj potem ISS na veliko razglasa, da nova verzija IDS (RS 

7.0)<BR>&gt; zdaj<BR>&gt; &gt;&gt; celo razume Snort recepte, ce je njihov 

interni razvojni tim tako<BR>&gt; mocan?<BR>&gt; <BR>&gt; Se vedno nisem dobil 

odgovora na to vprasanje.</DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>Kje na veliko razglasa?</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>Mogoce tule? <A 

href="http://xforce.iss.net/xforce/alerts/id/advise108">http://xforce.iss.net/xforce/alerts/id/advise108</A>&nbsp;;)</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>(sicer ima tudi RS svoje buge :)</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>Sicer je pa bi (ne poznam dejanskega vzroka) dejal, 

da ISS lahko uvaza SNORT vzorce zato, da ljudje lazje preidejo iz SNORTa na ISS 

RS.</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>Pa tudi zato, da ISS lahko korelira informacije iz 

razlicnih IDSov v enotno bazo.</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><BR>&gt; <BR>&gt; &gt;2. Hitrost analize: Jaz imam "pipco" verjetno vecjo 

kot mnogo slovenskih<BR>&gt; &gt;komercialnih podjetij (v bistvu jih je vec - 2 

T1, 1 DS3 za nase pisarne<BR>&gt; in<BR>&gt; &gt;do 100 MB burstable za 

produkcijo). V vseh primerih imam IDS (ManHunt,<BR>&gt; ISS,<BR>&gt; &gt;SNORT) 

na 100 Mbps portu in se noben ne pritozuje.<BR>&gt; <BR>&gt; To, da se noben ne 

pritozuje se ne pomeni, da je vse v redu.<BR>&gt; <BR>&gt; &gt;3. Enostavnost 

delovanja v praksi. Od vseh je postavitev in tuning<BR>&gt; najbolj<BR>&gt; 

&gt;kompliciran pri SNORTu. Vzel mi je kar veliko casa. Bi si nekako<BR>&gt; 

upal reci,<BR>&gt; &gt;da nekaj dni vs. nekaj tednov.<BR>&gt; <BR>&gt; 

TANSTAAFL.[1]<BR></DIV>

<DIV><FONT face=Arial size=2>Res da. Ampak pri moji ceni na uro je pac stvar 

taka, da je bolj ugodno iti notri z ISS kot pa s SNORTom. Moje cas je tako pac 

bolje izkoriscen. Verjetno pa bo enkrat prisel cas, ko me bodo outsourcali v 

Indijo :)&nbsp; ampak do takrat je (upam) se dalec. (Vsaj po mojih izkusnjah s 

trenutno situacijo outsourcanja v podjetju kjer delam.)</FONT></DIV>

<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>

<DIV><FONT face=Arial size=2>Kot sem dejal ze prej, je pac vsaka instalacija 

odvisna od koncnega porabnika. In vsak dober arhitekt se mora tega prav dobro 

zavedati.</FONT></DIV></BODY></HTML>