SNORT vélemények

Linux-security

Sziasztok!

1.) Mit gondoltak a tárgyban említett IDS-ről?
2.) Mit ajánlanátok helyette?

Kifejezetten érdekelnének az 1.) és 2.) kérdésel kapcsolatban is:

  1. Jó és rosz tapasztalatok
  2. Tanácsok a service-zel kapcsolatban
  3. Telepítési és configurálási gondok, nehézségek (ha vannak)
  4. Tippek, trükkök
  5. Ki mennyi ideje/ideig használja/használta

Üdv.:
V007

( junior013 | 2010. 03. 05., p – 15:42 )

Én korábban egy ideig használtam. Eleinte volt némi szívás a falspozitívokkal (néha kitiltott engem is, meg a másik rencergazdát :), de aztán beállítgattam rendesen, utána tette a dolgát.
Amióta azt a gépet lecseréltem, azóta az újon még nincs, de tervben van.

( veyron007 | 2010. 03. 05., p – 17:19 )

Várom a további tapasztalatokat is!

( veyron007 | 2010. 03. 06., szo – 22:23 )

Up
Up estére
Up reggelre
Up ebédre
Up estére - Ennyire nem lenne népszerű az IDS manapság?

( junior013 | 2010. 03. 06., szo – 10:14 )

Hát, nincs nagy tömeg :( Pedig engem is érdekelne némileg több, mint a saját tapasztalatom.
Szerintem egészítsd ki a témát egy "...és hasonlók, avagy mi mást helyette?" bővítménnyel.

( veyron007 | 2010. 03. 06., szo – 22:24 )

Egy utolsó UP a témának. Ennyire nem lenne népszerű az IDS a mai világban?

( dash | 2011. 05. 01., v – 00:16 )

--data-length: lehetőség van arra is, hogy random számokkal töltsük fel a csomagjaink payload részét (alapból ugye payload nélkül küldi ki a csomagokat, ami meg elég könnyen detektálható). Érdemes megnézni egyébként pl. a snort nmap-ra vonatkozó szabályait, ezeket egyesével lehet kicselezni különféle kapcsolókkal. Házi feladat: nézzétek meg a snort.org szabályai között az nmap-osakat, és cselezzétek ki őket! Nagyon tanulságos játék egyébként...

https://unixlinux.tmit.bme.hu/Nmap

színes aláírás

( Cajga | 2011. 05. 01., v – 10:18 )

Hi,

Mi használtuk az előző cégemnél élesben és nagyon jó volt... Az egyik customernél kellett beüzemelni bizonyos események alatt. Volt egy másik cég is Cisco IDS később IPS-el. Összehasonlítva a kettőt, olyan dolog nem volt amit mi nem láttunk volna de sok olyan dolog volt amit meg a Cisco nem látott/nem riasztott rá (ez nyilván konfigurálás+rule-ok kérdése).
Nekünk akkoriban egyetlen bajunk volt vele és az az volt, hogy csak 1 core-t/procit hasznalt a feldolgozáshoz (az új verzió már több thread-es).
A sebességproblémára találtunk megoldást. A lényeg, hogy a monitorozó hosztok csak gyűjtötték az alerteket egy plain file-ba, amit időközönként a barnyard nevezetű szoftverrel töltöttünk bele adatbázisba ahonnal saját fejlesztésű szoftverrel nézegedtük, tedtük bele a report-okba az egyes alerteket...

Valóban sokáig tart amíg kikapcsolod azokat a rule-okat amik neked nem kellenek, de véleményem szerint szinte mindent meg lehet vele csinálni köszönhetően a flexibilis rule language-nek...

( gaborpr | 2013. 01. 17., cs – 14:32 )

Fizetos alternativa lehet a Tippingpoint. Anno talan 2006-ban kaptam egy Snort vs tippingpoint telepites ugyfelnel, projektet. Persze tipre volt fekteteve a hangsuly mert az dragabb volt (Sales team nagyon nyomta).
Es Subs.