[Admins] intrusion detection system

[Network Operation Center]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hi!

On Oct 9, 2002 di reinisch wolfgang said:
> > DestIPaddr.	    FQDN		Sensor	Total	Unique	Src. Addr.
> > - --------------------------------------------------------------------------
> > 193.171.113.181	    0181.reinisch.at	1	17	4	3
>
> gibts eine genauere auflistung der alerts? kann ich selber wo nachschauen
> diesbezueglich?

ja und nein :)

ja: wir haben eine ganz genaue auflistung aller dinge die vor sich gehen
(bis hin zur payload der 'verdaechtigen' packete).

nein: selber nachschauen geht (zur zeit) nicht. oder anders: das ganze
laeuft ueber einen SSL apachen auf racoon.mur.at. ich moecht die login
daten nicht so ohne weiteres bekanntgeben, da es fuer acidlab kein
user/rechte schema gibt. heisst also, wer drin ist, kann alles loeschen
z.b.

ich koennt mir vorstellen, fuer die geschaetzten admins mal eine
einfuehrung zu machen, damit diese dann selber nachschauen koennen.
vielleicht find ich auch einen weg, regelmaessig reports ueber bestimmte
hosts/networks an die betreffenden leute zu schicken ... ich weiss noch
nicht, was da praktikabel und effizient ist. beispiel: seit gestern abend
haben wir mehr als 1.500 NEUE alerts in der datenbank! wir kommen da
sowieso nie nach mit dem durchschauen von allem. stichproben muessen da
reichen.

ausserdem stellen sich viele dinge als fals positives heraus, was du aber
erst siehst, wenn du dir das packet genau anschaust ...

fuer vorschlaege in dieser richtung immer dankbar verbleibe ich euch alle
freundlichst gruessend :)
- -- 
j.hofmueller
noc at mur.at
	NetworkOperationCenter
	^      ^        ^
				jogi hofmueller  <-> mur.at
				ludwig zeininger <-> mur.at
- ---------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Made with pgp4pine 1.75-6

iD8DBQE9pBwlAPrjdblyzsERAtFMAJ4yd9M8lBT6sD3+sQ9dXaSBl0m4wwCgggxO
UbwUshdGlkXFhwzBv3Z72CI=
=lgzB
-----END PGP SIGNATURE-----