Prelude IDS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: Prelude IDS
Mittente: Colombo Simone
Data: 22 Sep 2003 18:24:18 -0000

Salve a tutti,

leggevo stamane di Prelude IDS, un IDS definito "ibrido" in quanto integra  
sonde distribuite Network based e Host based. Osservando il paper 
sull'architettura del sistema 
(http://www.prelude-ids.org/article.php3?id_article=66) mi è parso 
interessante, soprattutto vista la modularità dell'approccio e agli sviluppi 
che puo' portare... i vari componenti comunicano su protocollo IDMEF, un 
draft dell'IETF 
(http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-10.txt ), il 
che apre la strada all'integrazione con sistemi di terze parti (snort?). 
A proposito di Snort, non mi sento di fare comparazioni perchè credo che 
Prelude abbia poco da spartire con lui, essendo più un sistema "cappello" che 
_include_ sniffers tipo snort (esiste anche un plugin che parsa le rules di 
snort), ma si focalizza su una visuale "dall'alto", sulla raccolta dei dati e 
la loro correlazione; è previsto un front-end web scritto in perl, con 
funzionalita` per ora simili a quelle di ACID per Snort.
Si trovano alcuni post su FOCUS-IDS (focus-ids@xxxxxxxxxxxxxxxxx) e sembra che 
chi lo usa ne sia parecchio soddisfatto. Qualcuno in lista lo conosce/usa? 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: upnp, porta 500, Simone Piunno
- successivo: RE: as400 + WIN2000, MaD
- indice

Argomento:
- precedente: Re: upnp, porta 500, Dario Lombardo
- successivo: Impatto sulle performance del "port monitor" degli switch Cisco, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005