[bglug] Intrusion detection system.

embyte embyte@madlab.it
Ven 5 Mar 2004 14:15:17 CET


On Friday 05 March 2004 11:29, ./SuperbepS wrote:
> io ho usato per un po' snort (probabilmente e' ancora installato :-).
> La configurazione e' abbastanza semplice, l'importante e' tenere aggiornati
> i file con le regole per la rilevazione.
> Tuttavia sono convinto che possa essere interessante da avere su un server
> ma non su un gateway che condivide la connessione ad internet, dato che i
> programmi piu' disparati (vedi P2P) generano un quantita' di falsi positivi
> mostruosa.

Beppe ha ragione, la maggior parte dei network-based ids che ci sono in giro 
(specialmente quelli opensource) soffronto di un grosso problema di falsi 
positivi. E' per questo motivo che in questi ultimi anni molti NIDS sono 
stati affiancati da apparati che fanno vuln. assestment della rete tirando 
fuori un profilo della rete, degli elementi di rete presenti, del loro 
sistema operativo e dei servizi che offrono. Avendo alle spalle una knowledge 
maggiore  possibile sfoltire una buona parte di falsi positivi.

Come lo vorresti utilizzare l'ids? che devi monitorare?
 -- 
bash$ :(){ :|:&};: 
Computer Science belongs to all Humanity!
Icq uin : #48790142
Gpg key fingerprint : 103E F38A 9263 57BB B842 BC92 6B2D ABFC D03F 01AA


Maggiori informazioni sulla lista bglug