On Tue, 6 Feb 2001, Florin Andrei wrote:
>
> Alex Stoian wrote:
> >
> > port sentry - asta e vechi de vreo cativa ani.singurul punct ok al lui
> > este ca poate sa ia masuri daca detecteaza asa ceva - ruleaza programe
> > externe sau modifica rute/reguli de firewall
>
> Asta a fost si impresia mea, insa doar din privite.
>
> > iplog - nus, eu l-am vazut ca pe o curiozitate nu m-am jucat prea mult cu
> > el.
>
> E misto prin regulile pe care le are, dar nu prea poate intreprinde actiuni.
> Si, BTW, nu stie sa logeze in SQL. ;-)
>
> > snort - asta chiar e bun.Daca e configurat cum trebuie, poate sa
> > intercepteze si tentative de DoS, remote exploits (daca stii cam ce
> > trimite ala spre tine - pachete tcp/ip i mean.Noroc ca exista o baza de
> > date cu reguli pt fiecare capitol in parte :-))
> > singura problema e ca nu poate fi lasat sa monitorizeze o retea prea
> > mare,cam clacheaza procesorul - gandeste-te ca proceseaza tot ce ii vine
> > pe placile de retea
>
> Pai nu sint obligat sa il rulez in mod promiscuu, nu? Mai ales ca sint pe o
> retea cu switch.
la baza este un soi de tcpdump care are niste filtre astfel incat sa
parseze streamul ip . prin urmare ruleaza in mod promiscuu .
avantajul fata de un tcpdump este asculta cam pe toate interfetele din
cate mi-am dat eu seama.
> Eu ma gindeam sa pun cite un mic snort pe fiecare masina (ma rog, macar pe
> cele importante), care sa se ocupe doar ce ce ajunge la masina respectiva.
daca se pune unul pe router, este suficient pt toate calculatoarele din
spatele lui.
poate varsa output-ul catre diverse SQL-uri pt a avea niste statistici
interesante :-))
>
> > gandeste-te la el ca un fw de layer superior :-)
>
> Mda, ma rog, ar extinde cam mult definitia termenului...
uita-te la documentatia lui si dupa aia mai zii :-))
>
>
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
