---

Hej!

Jeg har læst lidt oom IDS.

Hvilke angreb vil blive opdaget af en IDS (som Antivirus og Firewall ikke
ville klare)...???

Kan I komme med et par eksempler ???

(Spø'r en nysgerrig)!


--
Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

___ Anders T. Hansen ____ wrote:
> Hej!
>
> Jeg har læst lidt oom IDS.
>
> Hvilke angreb vil blive opdaget af en IDS (som Antivirus og Firewall ikke
> ville klare)...???

Hostbaseret IDS:

Kl er 04:30 om natten. En sekretær, uden forstand på edb, logger ind
via ssh fra en IP-adresse i Kina, og begynder at oversætte c-kode
så cpu'erne ryger. Lidt senere putter hun et netkort i promiskuøs tilstand
og sniffer lidt på dit Intranet. Sjovt nok ligger din sekretær og sover
ved siden af dig hjemme på Østerbro. Så det er formentlig ubudne gæster...

Den slags kan et HIDS fange (afhængigt af hvordan det er skruet sammen,
nogle kigger blot på integriteten af system filer, andre kigger efter
"unormal" opførsel - som i eksemplet).

Tag fx et kig på www.psionic/abacus

VH,

Ole

---

Hej!

1) Det må da egentlig være svært at fastsætte "unormal" opførsel...?
2) Har de fleste større netværk et IDS?
3) Hvis der sker unormale opførsel - bliver alt trafikken så bare stoppet
fra denne host ... ellelr?




Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup




Ole Michaelsen <omic+usenet3@fys.ku.dk> skrev i en
nyhedsmeddelelse:slrna5dqo5.3eb.omic+usenet3@goddard.intra.orange.dk...
> ___ Anders T. Hansen ____ wrote:
> > Hej!
> >
> > Jeg har læst lidt oom IDS.
> >
> > Hvilke angreb vil blive opdaget af en IDS (som Antivirus og Firewall
ikke
> > ville klare)...???
>
> Hostbaseret IDS:
>
> Kl er 04:30 om natten. En sekretær, uden forstand på edb, logger ind
> via ssh fra en IP-adresse i Kina, og begynder at oversætte c-kode
> så cpu'erne ryger. Lidt senere putter hun et netkort i promiskuøs tilstand
> og sniffer lidt på dit Intranet. Sjovt nok ligger din sekretær og sover
> ved siden af dig hjemme på Østerbro. Så det er formentlig ubudne gæster...
>
> Den slags kan et HIDS fange (afhængigt af hvordan det er skruet sammen,
> nogle kigger blot på integriteten af system filer, andre kigger efter
> "unormal" opførsel - som i eksemplet).
>
> Tag fx et kig på www.psionic/abacus
>
> VH,
>
> Ole

---

> 1) Det må da egentlig være svært at fastsætte "unormal" opførsel...?

Naturligvis. Derfor fungerer de færreste HIDS også på den måde. De fleste
holder "blot" øje med filintegritet og evt grimme ord i syslog.

Et NIDS har en signaturdatabase for kendte angreb, og kan derfor genkende
fx et forsøg på at exploite kendte cgi-fejl, nimda, frontpage etc.

Se http://a.area51.dk/sikkerhed/ordforklaring#ids for yderligere
info.

Jeg kender ikke mange større netværk, men det er ikke mit indtryk at
NIDS er i brug alle steder. HIDS er i brug færre steder.

-- Ole

---

Din egen faq giver nu ikke flere eksempler end dem du nævnte i dit indlæg!


Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

___ Anders T. Hansen ____ wrote:
> Din egen faq giver nu ikke flere eksempler end dem du nævnte i dit indlæg!

Ikke min faq. Gruppens faq.

Se http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm for
mere om IDS.


-- Ole