Re: /dev/bfp0 (Re: openbsd Digest 5 Jan 2000 13:24:01 -0000 Issue 9)

> senti il supporto di sti tizi e digli che ti serve il bpf :)
questa sarebbe la cosa migliore, ma temiamo che faccano scadere la
garanzia se mettiamo su altro SW

> personalmente (anche se e' un argomento + da ml@ che da openbsd@,
> consiglio di mettere l'IDS separato dai server: una macchina con 
> snort, nfr meglio (se hai i $$),
il problema del $$ non c'e', ma come IDS anche snort puo' fare
parecchio. cmq l'IDS sara' messo sul coyote di backup, non su quello
direttamente interessato a fare nat.

> hub ns = hub non switching (puo' anche essere switching, basta che sia
> configurabile in maniera di far arrivare TUTTO il traffico sull'IDS
appunto che non mi ricordo, set tra i 2 coyote c'e' uno switch o un
router... cmq il problema principale e' che i bfp non vanno e senza
quello al datalink layer non ci arriviamo. mettere su un'altra macchina
fatta da noi e' improponibile... il nostro problema si risolve solo con:
"speriamo che la coyotepoint non fa' storie x darci un kernel che
supporti il bfp".
 
> IDS = macchina (meglio obsd :) con su snort, nfr, quelcavolochehe' (di
> questo consiglio la 1.3.4.a :), meglio ancora se in modalita'
> completamente passiva (ovvero senza ip), anche se questo puo' essere
> scomodo se dovete fare amministrazione remota o se volete usarla per
> mandare, per esempio, il syslog del router su quella macchina, etc.
come log backup non dovrebbe essere usata quella... xo' x
l'amministrazione remota e' necessaria (sta' tutto chiuso a workcom).