R: IDS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2001 ml@sikurezza.org
Soggetto: R: IDS
Mittente: Bellomo Michele
Data: 30 Aug 2001 08:19:30 -0000

Confermo.
il risultato è molto carino, bisogna lavorare molto sulle rules per evitare
un
numero spropositato di falsi positivi.
La cosa che ho trovato piacevole in Snort+MySQL+Demarc è la possibilità
di avere sonde snort distribuite che loggano su un DB unico.


Una Pecca:
Pesante il logging remoto e soprattutto l'accesso al DB che si fa molto
corposo
se, come dicevo, le rules non sono scremate all'essenziale.


saluti

mb



-----Messaggio originale-----
Da: Man4Net [mailto:man4net@hotmail.com]
Inviato: martedì 28 agosto 2001 10.07
A: ml@sikurezza.org
Oggetto: Re: R: IDS


Un' architettura distribuita basata su Snort + (Demarc &  MySQL ) su
piattaforma Linux potrebbe essere un' ottima soluzione scalabile
che ti garantisce degli ottimi troughput :

1) Demarc ti permette di analizzare i logs di snort e monitorare, attraverso
un checksum MD5, i tuoi files di configurazione
    (previo installazione del client demarc sulle macchine)

2) Snort sappiamo tutti cos'è

3) MySQL pure

L' installazione del tutto è un po' macchinosa ma il risultato finale ti
ripagherà della fatica ;-)

See ya', Man4Net



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: R: Confronto netfilter firewall-1 ed altri fw commericiali, Daniele
- successivo: Re: R: Confronto netfilter firewall-1 ed altri fw commericiali, Luca Berra
- indice

Argomento:
- precedente: Re: R: IDS, Man4Net
- successivo: ulteriori stranezze nei log, Luca Salvini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005