linux user group brescia
immagine del castello

Archivio della mailing list

Re: Nessus

lcoianiz@libero.it lcoianiz a libero.it
Mer 31 Lug 2002 18:07:05 UTC 
>>  Ok ma... e Nessus ?
>> (che non h un IDS, se non erro, ma un analizzatore dello stato della
>> sicurezza).
> Nessus in primis e' uno sniffer di rete molto potente, che diventa
> IDS in quanto ha la possibilita' di lanciare un determinato comando
> associato al tipo di traffico che rileva sulla rete.
> Esempio: Un Koreano maledetto (ogni riferimento e' puramente casuale)
> mi sta' martellando di ping da 1024K da mezz'ora, nessus si accorge
> e mi manda un alert via sms o email oppure aggiunge una regola al
>  mio firewall etc etc...

 Mah... sei sicuro che stai parlando di Nessus ?!?..
 Devo ancora installarlo ma, da quel che ho letto sul relativo sito, 
pare che il suo lavoro sia simile a quello di DEMARC: prova a 
martellarti il sistema (tramite i suoi plugin) con tutta una serie di 
attacchi e compila un report (in formato HTML) rivelandoti le falle che 
ha scoperto (come DEMARC).

 Dalla tua descrizione sembra tu stia parlando di Snort (e qualcosa di 
simile l'ho sentita anche a proposito di Portsentry... ma potrei 
sbagliarmi).

 Non mi pareva che Nessus effettuasse una difesa attiva (tipo cambiare 
i path di routing) ma solo un reporting.

>>  Ero curioso di provarlo ma non vorrei "sporcare" il server con
>> installazione ed eventuale disinstallazione in caso non vada bene
> [...]
> 
> Secondo me puoi provarlo tranquillamente, ovviamente se il server e'
> in produzione stai attento alle rules che inserisci, potresti avere
> un sistema inutilizzabile e inaccessibile dall'esterno.

 Beh... non è proprio "in produzione" (non è quello di DigitalBrixia, 
per intenderci) ma mi spiaceva lo stesso "sporcarlo" con una 
disinstallazione mal fatta.

 Ad ogni modo tenterò ugualmente... mal che vada rompo in ML  ];-)))

> Ne so poco anch'io (che caso eh ? ;))) ma da quel che ho letto m'era
> parso che Snort, piy che come prodotto a se stante, venga usato
> come "componente" di altri prodotti (e.g. DEMARC).
> [...]
> Da quanto ne so demarc e' un'applicazione web scritta in php che
> estrapola i log che nessus scrive in un db (si, fa pure questo di
> bello..)

 Ehm... dai DOCs di DEMARC vedo che usa proprio Snort... da qui il 
dubbio che tu abbia scambiato Snort <--> Nessus (come comportamento 
intendo).

> P.S. scusate la prolissita' :P

 Figurati... se riescono a sopportare ME !!!  ;-)))

      Bye
      Sky

Maggiori informazioni sulla lista Lug