Re: [ml] IDS - network e host

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: [ml] IDS - network e host
Mittente: Stefano Zanero
Data: Tue, 25 May 2004 21:00:21 +0200 (CEST)

gcortese@xxxxxx wrote:

- Ma Snort non è un progetto risalente al 1992 e che il suo creatore
dichiara sfacciatamente.. obsoleto?


No, dove l'hai sentita questa ?

- Nids + Hids + sensori = Distributes Intrusion Detection.. bello ma forse dispendioso..

Distributed. E non e' semplicemente "bello", e' l'unico modo per fare un sistema di IDS che non sia solo un giocattolo.

e a parer mio non ha nemmeno senso mettere sensori in ogni
Vlan.

Enno'. Allora metti un sensore solo, appoggiato sul tavolino, e scollegato dalla rete. Almeno non hai troppi log da spulciare...

Se non
sbaglio esiste un prodotto che autoimpara.. ma lo usano i centri di ricerca
ed è basato su IA.


BUM ! Parole in liberta'. Pregasi studiare le referenze su:
http://www.elet.polimi.it/upload/zanero/papers/IDS-SAC.pdf
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-zanero.pdf

- Aggiungerei che nessun IDS.. seppur opportunamente configurato.. è in
grado di NON dare falsi positivi.. quindi 'personalmente' è meglio non
rischiare in produzione con un IDS 'proattivo'..

Ma come fai a dare una valutazione a priori senza sapere nulla dell'architettura in cui devi inserire il sistema ?

- H0neyp0t? H0neyNet? (basta la parola.. non aggiungo altro)

Primo, non si capisce perche' scriverli in modo lamer con uno zero al posto della o. Secondo, no, non basta la parola. Bisognerebbe spiegare per cosa intendi usarle. Non mi sembra che rispondano a nessuna delle esigenze esposte nella mail originaria.

- HP ha pubblicato l'anno scorso un documento di pubblico domino

[...]

utilizzando se non erro SELINUX.

Stai mescolando HIDS, Hardening, GRSec, PaX, Capabilities e Trusted OS, che sono cose diverse.

inoltre segnalo questo articolo un pò più tecnico
http://www.cs.swt.edu/~sriram/thesis/docs/intrusion_detection_and_the_use_of_deception_systems.pdf

A parte che l'url e' sbagliato, non e' un articolo ma una tesi di master americano (un po' meno di una tesi di laurea italiana). E diciamo che il livello non e' esattamente quello di una "bibbia" dell'argomento; ci sono decisamente molti lavori migliori. Il tutto per essere eufemistico, chiaramente.

--
Cordialmente,
Stefano Zanero

Computer World Italia (www.cwi.it)
--
Cordiali saluti,
Stefano Zanero
Dottorando di Ricerca / Ph.D. Student

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-3660/3550
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    www.elet.polimi.it/upload/zanero

In risposta a:
- Re: [ml] IDS - network e host, gcortese

Data:
- precedente: Re: [ml] IDS - network e host, Raistlin
- successivo: Re: [ml] data certa per DPSS o per la proroga?, koba
- indice

Argomento:
- precedente: Re: [ml] IDS - network e host, gcortese
- successivo: Re: [ml] IDS - network e host, lu.gio@xxxxxxxxx
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005