From: burak dayioglu (dayioglu@metu.edu.tr)
Date: Fri 13 Sep 2002 - 10:20:38 EEST
On Thu, 12 Sep 2002, unspoken wrote:
> Benim kafam karisik bu hususta bazi yerlerde snort engine`ni top cekiyorken
> burda ISS cekmis. bugun ayrintili olarak hepsini okudum ama neden boyle
> bilemiyorum bu ishte IIS-Apache olayina donmus olmasin? Kendimiz test edelim
> bence:)
Merhaba,
Aslinda iki urunun iki onemli kampin taraflari oldugunu soylemek lazim
once; Snort gelismis bir network-grepper'a daha yakin olsa da RealSecure7
protocol decoding yapan bir application level proxy'ler kumesine daha
yakin...
Protokol cozumlemesi yapan bir saldiri tespit sistemi, cozumleme yolu ile
anormallikleri tespit edebiliyor. Boylece, network-grepper aletlerde kural
tanimlamamis oldugunuz bir takim 0-day saldirilari da tespit etmesi ve
raporlamasi mumkun oluyor.
Tabii ki, protokol cozumlemesi yapan aletlerin uzerinde de kurallar
tanimlaniyor, tanimlanabiliyor. Yine de acikca "kural" tanimlanmamis bir
takim saldirilari da tespit edebiliyor olmasi onemli bir avantajdir.
Snort'un gelecek surumleri de protokol cozumlemesini daha yogun kullaniyor
olacak. Tespit, kurallar yerine protokolun normal davranisinin NIDS'e
ogretilmesi ile desteklendiginde nihai performans ciddi olcude yukseliyor.
Bugun Snort'un basit saldiri varyasyonlari ile "kandirilmasi" da bir
miktar daha guclesmis olacak.
Sozun ozu, protokol cozumleme mimarisi daha dogru bir mimari. Snort'un
yuksek basarisi cok kapsamli ve hizli gelisen kurallarina bagli...
Beklentileri farkli olanlar icin hangisinin anlamli/kiymetli oldugu
degisebiliyor.
selamlar, sevgiler,
-bd
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------