IDS system?

snort www.snort.org er gratis

Men det er vel et IDS for Linux/xBSD ??

Normalt har du ikke dit IDS på samme computer som din firewall/webserver men før.
Hvis du bliver udsat for f.eks. DOS vil din IDS "bryde forbindelsen" til din firewall, så den ikke vælter og kører videre når angrebet er ovre.
Det er for at undgå at firewallen skal bruge for meget energi på at afvise ikke ønskede IPPDUér mv. :-)
Jeg tror ikke der er nogen problemer med at få din Cisco PIX til at køre sammen med.
Det er jo normalt at sætte 2 firewalls op af forskellige fabrikater for at fjerne adgang for hackere som har produktspecifikt viden!

Maa tilstaa at jeg ikke har satt meg saerlig godt inn i teorien rundt eller bruken av IDS. Har imidlerttid observert at snort inngaar som en del av Smoothwall installasjonen og at den ogsaa inngaar i en del andre Linux distribusjoner.

Fant en beskrivelse her som stemmer med det som staar nevnt over:
http://www.snort.org/docs/lisapaper.txt

Men uansett om det er en fordel aa plassere IDS / Snort foer den egentlige firewall, saa maa vel allikevell prinsippet bli at Sonrt monitorer den trafikken som flyter gjennom den routeren som Snort er installert paa ? For den kan vel ikke monitore trafikk paa andre maskiner enn den maskinen som den selv er installert paa ?

Dette betyr vel saa at man eventuelt maa sette opp en egen Linux maskin som snort kjoerer paa, eventuelt i kombinasjon med at denne maskinen kjoerer som en ytre firewall ?? Mon om man kan bruke Smoothwall til dette ?? (har ikke sett saa mye paa bruken av Snort under Smothwall, men den er der da ..)

Og snort finnes vel ikke for Windows ??

I foelge FAQ saa skal den faktisk kunne kjoere under Windows (Men det ser ikke ut til aa vaere saa like til) ..
http://www.snort.org/docs/FAQ.txt

noden -> Har du noe mere info ???!!

Her var det jo ellers en del interessant beskrivelse.
http://www.snort.org/docs/idspaper/

Takker, jeg vil kigge lidt på det når jeg får tid :o)

Øh, jeg har ledt lidt...hvordan hulen giver man egentlig point? Kan ikke lige finde et sted hvor man kan lukke spørgsmålet og uddele pointene?

Points forutsetter at noen har lagt inn svar og ikke bare kommentar.

Etter aa ha kikket litt paa saken saa har jeg funnet at denne kommentaren fra meg over ikke er helt rett: "Men uansett om det er en fordel aa plassere IDS / Snort foer den egentlige firewall, saa maa vel allikevell prinsippet bli at Sonrt monitorer den trafikken som flyter gjennom den routeren som Snort er installert paa ?"

Det boer vel ogsaa gaa bra aa la snort vaere installert paa en maskin som monitorer trafikken paa et lan uten at den samtidig fungerer som en router.