Re: Ids Vs ips

On Thursday 12 February 2004 09:17, Luke wrote:
> Secondo voi quale la soluzione migliore? Qualcuno di voi ha avuto
> occasione di provare un ips? Impressoni?
> Esistono soluzioni open source basate su moduli nei kernel Linux /
> FreeBsd ?

Ciao a tutti,
per quanto riguarda l'opensource direi che Snort (snort.org) costituisce il 
riferimento assoluto (Linux/FreBSD/OpenBSD), ora implementa anche nella 
distribuzione ufficiale cio' che viene chiamato "FlexResp", e" possibile 
rispondere a determinate signature con  dei RST delle connessioni o simili. 
Qualcosa che invece affronta il problema  in modo un po' piu' sistematico, 
interagendo cioe' con Iptables stesso, e' SnortInline (snortinline.org). Il 
sistema che "attiva" l'allarme e' quello delle signature di Snort, e la 
protezione offerta e' quella di Iptables.
Sul sito dell'honeynet Project (http://project.honeynet.org/) trovi un sacco 
di informazioni, script e consigli sull'argomento.
Per tornare alle tue domande, direi che, sebbene gli IDS abbiano migliorato 
enormemente i problemi di "falsi positivi" che li hanno caratterizzati da 
sempre, il tuning di un IPS deve essere ovviamente ancora piu' preciso (e 
di conseguenza lungo). Probabilmente l'IPS non e' comunque una soluzione 
buona per ogni realta'. Non sempre infatti ci si puo' permettere che un 
falso positivo "uccida" una connessione (x es. E-Commerce). 
Una soluzione spesso implementata e' quella di far reagire l'IPS solo per 
poche e ben determinate signature che non abbiano dato problemi di falsi 
positivi, per  il resto lasciare solo la funzionalita' di IDS.

											Aidoru


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List