[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2006 ml@sikurezza.org Soggetto: Re: [ml] Re: Ricerca prodotti correlazione e analisi eventi di sicurezza Mittente: ego Data: Mon, 2 Oct 2006 12:47:36 +0200 (CEST)
> A questo proposito, ti segnalo SIM > (http://www.lomin.com/taxonomy/term/10), una distribuzione con cui hanno > cercato di risolvere le maggiori problematiche di configurazione di OSSIM. Damiano, il problema è un altro. a Prescindere che OSSIM è in continua (e non documentata) evoluzione, la versione 0.9.8 è bacatissima e come minimo, bisogna utilizzare la 0.9.9rc3 (di cui esiste un'immagine vmware pre-configurata). il vero problema è che hanno patch su TUTTO: ntop è patchato, snort è patchato, tcptrack è patchato... quindi o usi i pacchetti loro o la cosa si mette malino. Non solo... questo vale anche su architetture distribuite ed hai grossi problemi se usi distro diverse (il repository fedora ha patchlevel diversi da quello di debian). Se a questo aggiungi che la versione di snort è antica... per questo sconsiglio di utilizzare ossim come raccoglitore di log ma come correlatore, lasciando fare il primo lavoro a prelude, di cui almeno le patch sono state incluse, in parecchi casi, nella mainline (cfr. snort).
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005