fwsnort - ¿Qué tan seguro en comparación con Snort / Suricata?

Navega tus respuestas
0

¿Qué tan seguro es 'fwsnort' comparado con una instancia real de Snort / Suricata?

  • ¿Cuál es el porcentaje de reglas de VRT / ET que fwsnort puede usar realmente? Leí en algún lugar de un artículo anterior su único ~ 60%, ¿es realista hoy?

  • ¿Son realmente solo las reglas o Snort / Suricata proporcionan un margen de seguridad adicional, que es significativo ?

Estoy considerando usar fwsnort, en lugar de una instancia de Suricata, principalmente debido a la configuración muy sencilla. No soy un experto en seguridad, es por eso que lo pregunto aquí: ¿estoy mal con solo usar fwsnort?

    
pregunta user3200534 19.11.2015 - 20:44
fuente

1 respuesta

1

Basado en la descripción de fwsnort es un IDS de nivel de paquete que utiliza la función de comparación de cadenas de iptables. Esto significa que no puede aplicar ninguna regla que abarque varios paquetes. Esto incluye cualquier análisis serio a nivel de la aplicación, como analizar el tráfico SMTP (correo) y HTTP (web).

Por lo tanto, si te interesan principalmente los ataques en las capas inferiores, puede ser suficiente, pero no podrá detectar ataques en la capa de la aplicación, excepto los más triviales.

    
respondido por el Steffen Ullrich 19.11.2015 - 22:51
fuente

Lea otras preguntas en las etiquetas

¿Por qué se filtran los resultados de db_nmap, pero Nmap no lo está? Tratar con un servidor infectado con malware