[GTER] Utilizacao de IDS.

[Artur Renato Araujo da Silva]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Olá Sr. Marlon,

> A ideia e'
> utilizarmos produtos 'open-source' e 'free-software' para esse fim. Nosso
> primeiro candidato e' o Snort. No entanto gostaria de saber dos senhores
> que devem ter sua experiencia com esse produto e outros se ele e' de
> efetivo interesse.

Nós do Laboratório ACME! temos uma certa experiência com este software. Ele é 
utilizado e testado constantemente em nossos projetos. Nós recomendamos 
fortemente o uso do Snort (principalmente por ser free :-) ).

> Nao tem ele, por exemplo, tendencia a 'falsos
> positivos'? 

Tudo depende da forma como ele é configurado. Falsos positivos são gerados por 
qualquer IDS.
No entanto, as regras do Snort permitem grande flexibilidade no ajuste "fino" 
da detecção, diminuindo a ocorrência de falsos positivos se este for bem 
administrado/configurado. 

> Com que frequencia a base de dados de 'attack signatures'
> deveria ser atualizada?

No proprio site do Snort elas são frequentemente atualizadas, portanto basta 
ficar atento e baixar a última versão da base de assinaturas. Além disso vc 
ainda pode criar suas próprias assinaturas/regras conforme a necessidade.

> 'Last but not least', como se compara o desempenho
> de um micro normal com uma 'appliance' dedicada?

O desempenho do Snort em PCs sempre foi satisfatório. Entretanto nunca tivemos 
um "appliance" para podermos avaliar desempenhos.

Qualquer dúvida pode entrar em contato conosco:
acme at acme-ids.org
http://forum.acme-ids.org

> Marlon Borba
> Divisao de Suporte Tecnico
> TRF 3a. Regiao
> (11) 3311-4683 e 9692-8357
> mborba at trf3.gov.br

- -- 
- ----
ACME!
Computer Security Research
http://www.acme-ids.org
- ----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+MFjVO37n3+bBvOARAloWAKDo4OtIwv/neehMQcJtfHUXW33DDgCgntXS
pVEkk5mYxohvnnuI4bz6fsU=
=Nx3+
-----END PGP SIGNATURE-----