# Meetings > Workshops >  Σεμινάριο Intrusion Detection Systems, 4/11/07 @ 12:00

## badge

Λοιπόν, κατόπιν σχετικών διορθώσεων που έγιναν στο PDF του workshop, σας το παραδίδω για ανάγνωση.

Όσοι δεν το παρακολούθησαν δεν έχασαν και πολλά. Δεν μπορώ δυστυχώς να υπερηφανευτώ ούτε για τη μεταδοτικότητά μου, ούτε για την άρθρωση και την προφορά μου. Κατά τα άλλα τραβήχτηκε ένα video μεγέθους 5GB το οποίο από ό,τι κατάλαβα σύντομα θα είναι διαθέσιμο σε συμπιεσμένη μορφή.

Ευχαριστώ θερμά τους συμμετέχοντες, για μένα ήταν ευχαρίστηση το _'good stuff'_ που άκουσα από τα χείλη μερικών, και παραμένω στη διάθεση του Συλλόγου για ένα δεύτερο γύρο με συγγραφή κανόνων και λοιπά πιο εξειδικευμένα θέματα.

*EDIT :* Το video του workshop βρίσκεται εδώ -> http://www.wltube.awmn/play.php?vid=275

----------


## socrates

Μας δουλεύεις έτσι;
Από τα πιο καλά workshops με σωστή δομή και υλικό υποστήριξης (σε παίρνω από το χέρι και σου δείχνω το δρόμο ένα πράγμα).

Μακάρι να επαναληφθεί και να εμπλουτιστεί με τα rules που μας είπες και από το detection να πάμε στο prevention.

Όσοι δεν ήρθατε... οπωσδήποτε να δείτε το video!

----------


## yang

Badge είσαι δύναμη..  ::  

ΥΓ.αν είχες και λίγο traffic..

----------


## fon_hussan

Ηταν σχετικά ελαφρύ (χρονική διάρκεια ανεκτή) και πολύ ενδιαφέρον...
Συγχαρητήρια....!

Τα μόνα σχόλια (με πολλή δόση χιούμορ):
- το στρατιωτικό 'στύλ' που μου φάνηκε ότι σου έβγαινε φυσικά, αλλά αυτό το έχεις εμφυτό λόγω δουλειάς σου (?).  ::  
- τα 'μαγικά' κτλ με κονσόλα καθώς τα έβλεπα ως κινέζικα μετά από κάποιο σημείο (είμαι ένας ακόμα 'παραθυρικός τύπος').  ::

----------


## badge

> (είμαι ένας ακόμα 'παραθυρικός τύπος')


Κανείς δεν είναι τέλειος σε αυτή τη ζωή... όλοι έχουμε ελαττώματα  ::  
Και ποτέ δεν είναι αργά να αλλάξεις, ειδικά τώρα που είναι νωρίς.

----------


## alsafi

Εγω παντος ακομα σκεφτομαι τα γουρουνακια και γελαω  ::   ::   ::

----------


## NetTraptor

Nice Και εμένα μου έκανε καλύτερη εντύπωση το byte size παρά να φλομώνουμε και να κουράζουμε τον κόσμο!

Πήγαινε σπίτι εγκατέστησε το, να τα βήματα, παίξε λίγο, βάλτο να παίξει στον κόμβο σου, έλα να το δούμε, φερε απορίες και την άλλη φορά πάμε για άλλα..

Η ιδέα μου για τα workshop είναι ένα Game με πολλούς γύρους έτσι ώστε η γνώση να γίνεται πράξη και τέλος έργο-καθημερινότητα μέσα στο δίκτυο. 

Badge good work! Μόλις βρούμε καιρό πάμε μερικά βήματα παρακάτω. Μακάρι όλοι να μπορέσουν να αφομοιώσουν όλα αυτά που παραδίδονται στα workshop και να καταφέρνουμε κάθε φορά να συνδυάζουμε υλικό και να παράγουμε όλο και ποιο σύνθετα workshop για ΟΛΟΥΣ...

Απο αύριο θα αρχίσω να ανεβάζω όλα τα workshop ... στο wltube... stay tuned..  ::

----------


## ysam

Ελπίζω να έδειξε καθόλου OSSIM ο άχρηστος.. Εχμμ λάθος ο καλός μου φίλος εννοούσα..  ::   ::   ::

----------


## badge

Εδώ σπάγαμε το κεφάλι μας να βρούμε "ποιο ήταν αυτό το τεράστίο πράγμα που τα κάνει όλα και συμφέρει και είναι super wow και γ@μwto γιατί δεν το θυμάμαι..." και σε κάποια φάση ο NetTraptor μπροστά στο laptop του αναφωνεί... _"Α ναι ρε σεις, το OSSIM!"_.

Ούτε καν μια αναφορά στην ονομασία... δεν το ήξερα και δεν το έχω δουλέψει ποτέ. Θα προστεθεί στην επόμενη παρουσίαση. Να το μελετήσω κιόλας.  ::

----------


## noisyjohn

Nice work Badge!



> Badge είσαι δύναμη..  
> 
> ΥΓ.αν είχες και λίγο traffic..


ναι αλλά έχει καλό..... πως το είπανε.... πώς το είπανε ... Α! ναι ρε σεις jinzora!  ::

----------


## badge

> ναι αλλά έχει καλό..... πως το είπανε.... πώς το είπανε ... Α! ναι ρε σεις jinzora!


Μπαίνω που λέτε στο Σύλλογο προχτές, και ακούω στην κονσόλα να παίζει Βίκυ Μοσχολιού, και ο katsaros_m να καπνίζει ακούγοντας την αποσβολωμένος και κοιτώντας το άπειρο. Με κοιτάζει και μου λέει : _"Δε φταίω εγώ, εσύ φταις που μου το έδειξες. Εκεί είναι η υπηρεσία, ε, να μην την χρησιμοποιήσω;"._

Πέθανα στο γέλιο  ::

----------


## dalex

....

----------


## ysam

> Εδώ σπάγαμε το κεφάλι μας να βρούμε "ποιο ήταν αυτό το τεράστίο πράγμα που τα κάνει όλα και συμφέρει και είναι super wow και γ@μwto γιατί δεν το θυμάμαι..." και σε κάποια φάση ο NetTraptor μπροστά στο laptop του αναφωνεί... _"Α ναι ρε σεις, το OSSIM!"_.
> 
> Ούτε καν μια αναφορά στην ονομασία... δεν το ήξερα και δεν το έχω δουλέψει ποτέ. Θα προστεθεί στην επόμενη παρουσίαση. Να το μελετήσω κιόλας.


Για αυτό φταίνε και οι δύο (spirosco,nettraptor) που τους το έστησα και παίζει σε ένα vm από τότε! Αλλά αυτά είναι.. Κάνε φίλους να δεις καλό..  ::   ::   ::

----------


## prometheus

Εντυπωσιακό το pdf  ::  ωραία δουλειά....

----------


## dalex

.....

----------


## badge

Το όλο tutorial αφορά ένα μηχάνημα το οποίο θα κάνει μόνο αυτό. Με δεδομένο ότι είναι επικίνδυνο να τρέχεις ένα IDS μαζί με οποιαδήποτε άλλη υπηρεσία, διαλέγεις ένα μηχάνημα το οποίο να ΜΗΝ είναι production (file server χαμηλών απαιτήσεων, time server, γενικά κάτι που δε θα σε χαλάσει αν τυχόν στεγνώσει) και το στήνεις εκεί. Κάτι σαν honeypot ένα πράγμα. Σκοπός είναι να διαβάζει όλα τα πακέτα που μπαίνουν και βγαίνουν στο δίκτυό σου (δε συζητώ να το βάλεις πάνω στο backbone, καθώς αυτό αντιτίθεται στα κοινώς αποδεκτά RFCs).

Τα logs μπορείς να τους ρίχνεις ματιές που και που... σίγουρα κάποιος που θα έχει αλισβερίσι με το δίκτυό σου όλο και κάποιο worm θα έχει κολλήσει, όλο και κάποιος θα προσπαθήσει να κάνει χαζά στους servers σου, και το καλό θα είναι ότι τώρα θα το μαθαίνεις... Αν δεν κάνω λάθος το acidbase σου χορηγεί links που αναφέρουν επακριβώς ποιο είναι το πρόβλημα. Όπως αναφέρει και το PDF, μπορείς να κάνεις δοκιμές χτυπώντας το IDS με κάπιοιον penetration tester.

Τον τελευταίο καιρό δοκιμάζω το OSSIM που είναι συνδυασμός πολλών εργαλείων σε ένα server (ntop, nagios, snort, acidbase, και λοιπά καλούδια). Το επόμενο workshop σίγουρα θα περιλαμβάνει τουλάχιστον μία αναφορά.

----------


## PIT

Παντως ειναι μια ακριβη υπηρεσια για να στηθει. Αν σκεφτεις μονο το switch που πρεπει να αγορασεις για να κανεις port mirroring και να βαλεις πανω τον server + το μηχανημα που θα παρεις  ::   ::  

Το φτηνοτερο που βρηκα ηταν της 3com με 205€. Πιστευω θα ειναι μια καλη αρχη για πυραματισμους αν και ακριβη  ::   ::

----------


## badge

Μια άλλη πολύ καλή λύση είναι να βάλεις το snort inline με το υπόλοιπο δίκτυο. Δηλαδή δύο κάρτες δικτύου πάνω στο IDS, η μία προς την ταράτσα και η άλλη προς το switch σου όπου θα παίζουν όλα τα μηχανήματα του κόμβου. Just an idea.

Εναλλακτικά είπαμε... σε αποθήκη με παλιά ανταλλακτικά Η/Υ, unmanaged layer 2 hub.

----------


## PIT

Καλη η ιδεα αλλα δεν μπορω να στειλω αλλο utp πανω στον router.  ::  
Χρειαζεται καλο μηχανημα ή ενα PIII φτανει???

----------


## dalex

.....

----------

