[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2006 ml@sikurezza.org Soggetto: Re: [ml] Testare un NIDS Mittente: Stefano Zanero Data: Sun, 12 Nov 2006 11:29:33 +0100 (CET)
Danilo Vizzarro wrote: > Testare non significa capire se l'IDS funziona perchè di funzionare, > funziona, > ma di capire l'efficacia dell'IDS ovvero capire se funziona bene o no. OK. Nuovo passaggio: cosa significa, per il tuo IDS, funzionare bene? Scoprirai che non e' banale rispondere a questa domanda. >> Cioe' ? Stressarlo facendogli generare allarmi ? > > Esatto. Questo non ti dice se l'IDS funziona "bene" o "male". Tenderei a dire che non ti dice assolutamente nulla :) Come ho gia' detto, "valutare se un IDS funziona bene o funziona male" e' un problema di ricerca totalmente aperto e quasi inesplorato, quindi ti suggerirei di metterti l'anima in pace e di lasciar stare. L'unica cosa che puoi realisticamente fare e' verificare "se scatta" (cosa che, mi dici, hai gia' verificato), ed effettuare del tuning delle regole per eliminare gli alert non contestuali se stai lavorando con un sistema misuse-based. In aggiunta a cio' potresti fare dei test sul tuo sistema HW/SW nel suo complesso per vedere le prestazioni in termini di throughput, ma non e' banale (e _non_ lo ottieni facendogli generare allarmi a raffica). -- Cordiali saluti, Ing. Stefano Zanero, PhD CTO & Co-Founder Secure Network S.r.l. Via Matteotti 9 - 24047 Treviglio (BG) - Italia Phone: +39 0363.560404 email: s.zanero@xxxxxxxxxxxxxxxx web: www.securenetwork.it
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005