Intrusion Detection System

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
16 messages Options
Reply | Threaded
Open this post in threaded view
|

Intrusion Detection System

Eldar N. Novruzov
что есть под опен кроме Snort ?


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Anthony Sapozhnikov
On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:

а чем сбно snort не нравится?
> что есть под опен кроме Snort ?
>
>
>


Reply | Threaded
Open this post in threaded view
|

Re[2]: Intrusion Detection System

Yuri V. Schefer
Здравствуйте, Anthony.

Вы писали 17 ноября 2005 г., 14:15:43:

> On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:

> а чем сбно snort не нравится?
>> что есть под опен кроме Snort ?


Кстати, дистрибутивчик кто-то делал IDS (OpenBSD+ACID+SNORT). Типа
сразу всё заточено, установщик свой. Сайт смотрел подробно, но вот
руки не дошли до "потрогать."

--
WBR, Yuri
SHEF-RIPE


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Dmitry V. Kustov
In reply to this post by Eldar N. Novruzov
On Thu, 17 Nov 2005 13:53:47 +0300, Eldar N. Novruzov <[hidden email]> wrote:

> что есть под опен кроме Snort ?
>
>

Может, portsentry ?


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Eldar N. Novruzov
In reply to this post by Anthony Sapozhnikov
Anthony Sapozhnikov wrote:

> On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:
>
> а чем сбно snort не нравится?

речь не о нравиться/не нравиться, а о возможных вариантах ...

>
>> что есть под опен кроме Snort ?
>>
>>


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Anthony Sapozhnikov
On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:

> Anthony Sapozhnikov wrote:
>
>> On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:
>>
>> а чем сбно snort не нравится?
>
> речь не о нравиться/не нравиться, а о возможных вариантах ...
>
>>
>>> что есть под опен кроме Snort ?
>>>
>>>
если говорить о NIDS то есть, например tinyids, portsentry, shadow

также к IDS можно отнести samhain,tripwire...

еще можно посмотреть в сторону проекта prelude (prelude-ids.org) который
представляет из себя Hybrid IDS и может агрегировать данные от
весьма внушительного списка различного security- софта,
в том числе и других специализированных IDS.


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Mike Belopuhov
On Thu, Nov 17, 2005 at 23:19 +0500, Anthony Sapozhnikov wrote:
> если говорить о NIDS то есть, например tinyids, portsentry, shadow
>

ужас :)  tinyids не дописан даже до нормальной packet capture программы..
какое там ids....

как альтернатив snort -- бесплатного и поддерживаемого ничего особо нету...

portsentry и scanlogd это только активные/пассивные регистраторы
сканирований, соответственно всего другого множества возможных
атак они не различают...


Reply | Threaded
Open this post in threaded view
|

RE: Re[2]: Intrusion Detection System

Мазалецкий Олег
In reply to this post by Eldar N. Novruzov
А подробнее можно об этом?

-----Original Message-----
From: Yuri V. Schefer [mailto:[hidden email]]
Sent: Thursday, November 17, 2005 3:31 PM
To: [hidden email]
Subject: Re[2]: Intrusion Detection System

Здравствуйте, Anthony.

Вы писали 17 ноября 2005 г., 14:15:43:

> On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:

> а чем сбно snort не нравится?
>> что есть под опен кроме Snort ?


Кстати, дистрибутивчик кто-то делал IDS (OpenBSD+ACID+SNORT). Типа
сразу всё заточено, установщик свой. Сайт смотрел подробно, но вот
руки не дошли до "потрогать."

--
WBR, Yuri
SHEF-RIPE


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Eldar N. Novruzov
Мазалецкий Олег wrote:

>А подробнее можно об этом?
>
>-----Original Message-----
>From: Yuri V. Schefer [mailto:[hidden email]]
>Sent: Thursday, November 17, 2005 3:31 PM
>To: [hidden email]
>Subject: Re[2]: Intrusion Detection System
>
>Здравствуйте, Anthony.
>
>Вы писали 17 ноября 2005 г., 14:15:43:
>
>  
>
>>On Thu, 17 Nov 2005, Eldar N. Novruzov wrote:
>>    
>>
>
>  
>
>>а чем сбно snort не нравится?
>>    
>>
>>>что есть под опен кроме Snort ?
>>>      
>>>
>
>
>Кстати, дистрибутивчик кто-то делал IDS (OpenBSD+ACID+SNORT). Типа
>сразу всё заточено, установщик свой. Сайт смотрел подробно, но вот
>руки не дошли до "потрогать."
>
>  
>
да, да ... ссылку в студию ! ;-)

на каком то сайте видел опрос, типа "считаете ли вы, что чек поинт
"почерпывает" реализации snort" кто что думает  по етому поводу ?


Reply | Threaded
Open this post in threaded view
|

Re: Intrusion Detection System

Dmitry V. Kustov
On Fri, 18 Nov 2005 15:02:58 +0300, Eldar N. Novruzov <[hidden email]> wrote:

> на каком то сайте видел опрос, типа "считаете ли вы, что чек поинт  
> "почерпывает" реализации snort" кто что думает  по етому поводу ?
>
>
Из разряда: "Считаете ли вы, что Novell "почерпывает" реализации SuSE?"

http://www.checkpoint.com/press/2005/sf100605.html


Reply | Threaded
Open this post in threaded view
|

похоже что ALTQ

Maxim P.Yutkin
Есть такая ситуация:
есть прокси сервер без ограничения скокрости
(к нему у обычных пользователей нет доступа)
есть другой сервер на котором есть ssh и разрешен форвард портов,
(а также есть доступ к выше указаному прокси)
соответственно для некоторых пользрвателей там есть аккаунты,
и они могут сделать себе тунель на тот прокси и использовать более быстрый
(а точнее безлимитный по скорости) интернет.
Вот встал такой вопрос, как ограничить им скокрость не на прокси, а на том сервере,
где у них ssh аккаунты с помощью например ALTQ или чего другого?
(т.е варианты с ограниченим скорости на прокси не пожходят)
----------------------------------
----------------------------------


Reply | Threaded
Open this post in threaded view
|

Re: похоже что ALTQ

Dmitry V. Kustov
On Sat, 19 Nov 2005 12:34:22 +0300, Maxim P.Yutkin <[hidden email]>  
wrote:

> Есть такая ситуация:
> есть прокси сервер без ограничения скокрости
> (к нему у обычных пользователей нет доступа)
> есть другой сервер на котором есть ssh и разрешен форвард портов,
> (а также есть доступ к выше указаному прокси)
> соответственно для некоторых пользрвателей там есть аккаунты,
> и они могут сделать себе тунель на тот прокси и использовать более  
> быстрый
> (а точнее безлимитный по скорости) интернет.
> Вот встал такой вопрос, как ограничить им скокрость не на прокси, а на  
> том сервере,
> где у них ssh аккаунты с помощью например ALTQ или чего другого?
> (т.е варианты с ограниченим скорости на прокси не пожходят)
> ----------------------------------
> ----------------------------------
>
>
Да, можно с помощью ALTQ (cbq).

http://www.openbsd.org/faq/pf/queueing.html


Reply | Threaded
Open this post in threaded view
|

Re[2]: похоже что ALTQ

Maxim P.Yutkin


-----Original Message-----
From: "Dmitry V. Kustov" <[hidden email]>
To: [hidden email]
Date: Sat, 19 Nov 2005 21:52:42 +0300
Subject: Re: похоже что ALTQ

>
> On Sat, 19 Nov 2005 12:34:22 +0300, Maxim P.Yutkin <[hidden email]>  
> wrote:
>
> > Есть такая ситуация:
> > есть прокси сервер без ограничения скокрости
> > (к нему у обычных пользователей нет доступа)
> > есть другой сервер на котором есть ssh и разрешен форвард портов,
> > (а также есть доступ к выше указаному прокси)
> > соответственно для некоторых пользрвателей там есть аккаунты,
> > и они могут сделать себе тунель на тот прокси и использовать более  
> > быстрый
> > (а точнее безлимитный по скорости) интернет.
> > Вот встал такой вопрос, как ограничить им скокрость не на прокси, а на  
> > том сервере,
> > где у них ssh аккаунты с помощью например ALTQ или чего другого?
> > (т.е варианты с ограниченим скорости на прокси не пожходят)
> > ----------------------------------
> > ----------------------------------
> >
> >
> Да, можно с помощью ALTQ (cbq).
>
> http://www.openbsd.org/faq/pf/queueing.html
>
>
то что с помощью ALTQ это я более мение понимаю
вот не очень понятно какой траффик "резать"
если ссх порежу самому неудобно будет
или стоит его "резать" только для определенных пользователей?
----------------------------------
----------------------------------


Reply | Threaded
Open this post in threaded view
|

Re: похоже что ALTQ

Alex Kirhenshtein
в административном порядке надо стучать по головам -- самый надежный способ.

Maxim P.Yutkin wrote:
>
> то что с помощью ALTQ это я более мение понимаю
> вот не очень понятно какой траффик "резать"
> если ссх порежу самому неудобно будет
> или стоит его "резать" только для определенных пользователей?
> ----------------------------------
> ----------------------------------
>


Reply | Threaded
Open this post in threaded view
|

Re: Re[2]: похоже что ALTQ

Dmitry V. Kustov
In reply to this post by Maxim P.Yutkin
On Sun, 20 Nov 2005 23:52:24 +0300, Maxim P.Yutkin <[hidden email]>  
wrote:

>
> то что с помощью ALTQ это я более мение понимаю
> вот не очень понятно какой траффик "резать"
> если ссх порежу самому неудобно будет
> или стоит его "резать" только для определенных пользователей?
>
Можно для конкретных пользователей, причём на прокси наружу.


Reply | Threaded
Open this post in threaded view
|

Re: Re[2]: Intrusion Detection System

Alex Popov
In reply to this post by Yuri V. Schefer
> Кстати, дистрибутивчик кто-то делал IDS (OpenBSD+ACID+SNORT). Типа
> сразу всё заточено, установщик свой. Сайт смотрел подробно, но вот
> руки не дошли до "потрогать."

там еще и MySQL воткнут - работает без проблем и обнавляет сигнатуры
как положено. Если лень повозиться и установить все самому...

http://sunsite.mff.cuni.cz/MIRRORS/utopia.hacktic.nl/pub/OpenIDS/openids.txt
http://openids.openbsdservers.com/