Re: R: IDS

Un metodo per rendere un NIDS "invisibile" e' quello di utilizzare un tap.

Vi sono un paio di societa' al mondo che sviluppano un tale aggeggio: io
personalmente ho provato lo Shomiti Century Tap (http://www.shomiti.com,
ma se la memoria non mi inganna ora la societa' e' stata acquisita da
un'altra, e il vecchio sito e' solo un redirect al nuovo - ad ogni modo lo
trovate nella descrizione dei prodotti, il modello base costa 1 milioncino).

Tale device, senza entrare nel merito, permette il monitoraggio effettivo non
intrusivo in una LAN (nel mio caso Ethernet o FastEthernet Half e Full Duplex,
ma la Shomiti ha altri prodotti per risolvere diverse problematiche), a patto
di utilizzare alcuni accorgimenti per poterlo sfruttare al meglio che possono
far lievitare il prezzo del NIDS.

Vi sono altri modi per rendere "stealth" un NIDS (o uno sniffer): per
quanto mi riguarda, comunque, reputo migliori i metodi "fisici", che non
permettono in alcun modo una comunicazione da parte dell'interfaccia settata
in modalita' promiscua.

Saluti,
:raptor

PS. Io saro' a SMAU sicuramente Lunedi' a presenziare alla Tavola Rotonda
su hacking & security (non chiedetemi orari o altro, non li so neanche
io:). Cerchero' di farvi sapere qualcosa in piu' appena possibile. Forse
faro' un salto anche Venerdi', ma mi sa che sara' difficile...


On Tue, 16 Oct 2001, Daniele wrote:

> si infatto ho specificato net ids : un network
> intrusion detection system si basa sul traffico
> passante, non sui syslog di sistema, quello di
> cui parli è un Host intrusion detection system.

Antifork Research, Inc.                         @ Mediaservice.net Srl
http://www.0xdeadbeef.eu.org                    http://www.mediaservice.net



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List