linux user group brescia

> Fermo il roblema delle password, io in questo periodo sto valutando 
> snort in aggiunta a iptables per cercare di avere un sistema più sicuro.
> Attualmente lo ho installato con il file di configurazione di default e 
> mi sto studiando il manuale per adattarlo alle mie esigenze.
> Qualcuno lo ha già provato/in uso?

non voglio fare assolutamente lo sbruffone, ma penso ti possa essere
utile qualche informazione. Ti segnalo che snort è un IDS. non previene
gli attacchi, ti dice solo: "ti hanno attaccato". Se usi l'opzione
Flexible Response riesci anche a mandare qualche TCP reset o Host
Unrechable, ma non è sufficente.

Se ti interessa esiste snort_inline, una patch di snort molto valida,
che fa diventare snort un IPS, sul quale io e altre persone stiamo
lavorando da tempo (snortattack) e stiamo avendo ottimi feedback anche a
livello europeo, anche da parte del team di snort

se vuoi del materiale aggiuntivo fammi sapere.

http://www.snortattack.org, qui trovi direttamente nella index un bel po
di link del mondo di snort.


se sei interessato il 6 febbraio saremo ad  Infosecurity a presentare il
nostro lavoro oltre che ha spiegare il funzionamento di snort_inline e
le sue potenzialità, credo che la nostra presentazione sarà verso le 14.30.

http://www.infosecurity.it/it/infosecurity.aspx?ID_Portale=Z6skuJTSHr%2fjF7janL35RA%3d%3d&ID_Pagina=fF%2b7etXTY34nfmtRTL8Shw%3d%3d&ID_MenuLvl1=mllS8ehP3VwfAOVCVR5ckw%3d%3d&ID_MenuLvl2=fF%2b7etXTY34nfmtRTL8Shw%3d%3d&Lang=l51VDVQfL9BdevTm%2fsJx0Q%3d%3d

*Sorry* per il link oblungo, non è colpa mia...

ciao

NM

p.s. uno  snort in configurazione standard di solito genera falsi
positivi a gogo, l'ottimizzazione e personalizzazione sono d'obbligo
p.p.s. la versione 2.6.x di snort è molto potente, ma purtroppo richiede
3 o 4 volte le risorse della 2.4.x...
p.p.p.s -> per visualizzare gli allert di consiglio di loggare su Mysql
e visualizzarli con BASE+ ...