Re: R: IDS

> Quando avrai da controllare una rete con 200 postazioni e server, ognuno
dei
> quali utilizza i log in un modo diverso e fantasioso e per cui non esiste
> una modalita' semplice di raccogliere i dati, hai 3 alternative:
>
> 1) stacchi lo spinotto dell'interfaccia verso l'esterno del tuo router,
> sconnetti il modem, spari alla parabola satellitare, insomma, stacchi la
LAN
> da internet :)
>
> 2) ti rassegni all'idea che su almeno 50 di quelle 200 macchine entreranno
> intrusi e che tu non lo saprai mai, finche non ti si spegne tutto sotto le
> dita o ti trovi in casa i finanzieri perche' dalle tue macchine hanno
> hackato la banca d'italia o
>
> 3) installi uno o piu' sistemi di IDS ben calibrati per avere una speranza
> di capirci qualcosa.
>

Beh oltre questo...quando hai cosi tanti host consiglierei di configurare
una macchina come logserver.
E di montare i vari NIDS lissu' e usare un syslogger migliore di syslogd
come ad esempio syslog-ng che trovi su balabit.hu

Quel syslogger ti consente di filtrare i messaggi in arrivo basandosi non
solo sulla facility e sulla priority ma anche in base al contenuto del
messaggio e dalla macchina di provenienza.
Inoltre ha qualche meccanismo per evitare i semplice DoS al syslogd.

Inoltre considera che sia Snort che Syslog-Ng ti consentono di eseguire
programmi quando si verifica un certo evento...questo puo' essere utile per
farsi mandare una mail, un sms quando ci sia un attivitą sospetta.

Valerio [Hypo] Verde


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List