snort

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Červen 3 21:18:38 CEST 2001


On Fri, 1 Jun 2001, Jiri 'Eagle' Novak wrote:

> V SuSE 7.1 CZ jsem objevil i snort. Neco jsem o nem kdysi cetl,
> dokonce jsem mel v ruce (ok, na obrazovce) srovnani snortu a
> portsentry... k veci.

Snort (aspon ta vec, co znam pod tim jmenem) je "IDS pro chude" (*). Chyta
pakety ze site a porovnava je s databazi. Nahlasi vsechny nalezene shody.
AFAIK si neudrzuje zadny stav (narozdil od portsentry), cili de facto
nedokaze portsken jako takovy detekovat. Muze vsak napr. zjistit, ze nekdo
leze na porty, na kterych neni nic, co by je melo zajimat, nebo zjistit,
ze nekdo posila pakety ne zcela standardniho charakteru.

(*) IDS = Intrusion Detection System. Vec, ktera se na zaklade nejake
umele inteligence snazi automatizovane zjistovat a hlasit bezpecnostni
incidenty. Neco jako softwarove poplasne zarizeni.


On Fri, 1 Jun 2001, Ing. Pavel PaJaSoft Janousek wrote:

> 	Tusim, ze Pavel Kankovsky v security na underground.cz psal, ze se mu
> rozumny vysledek z tohoto softu nepodarilo vydolovat, treba se neco
> zmenilo...

Obavam se, ze to byla jina konference a jiny software.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux