hi,

könnten sich bitte die leute, die sehr gut C programmieren können und lust haben an einem gigabit ids mitzuarbeiten, das direkt im kernel laufen soll, bei mir per mail o.ä. melden. bitte nur leute, die auch entsprechend zeit und lust abzapfen können.

danke

joey

Original geschrieben von joey.brunner

könnten sich bitte die leute, die sehr gut C programmieren können und lust haben an einem gigabit ids mitzuarbeiten, das direkt im kernel laufen soll, bei mir per mail o.ä. melden. bitte nur leute, die auch entsprechend zeit und lust abzapfen können.


welche art IDS? host oder network. host-IDS gibts genug (RBAC, LIDS, NSA-linux). ein network-IDS, das direkt im kernel läuft, würde ich persönlich nicht einsetzen, sondern lieber userland-tools wegen der sicherheit. warum willst du es im kernel laufen lassen?

-j

hi

naja ein gigabit hids macht ja keinen sinn. dass musste ja dann ein gigabyte ids sein ;)

es gibt derzeit kein ids auf dem markt, das de facto gigabit netzwerke überwachen kann. klar du kannst sie schon einsetzen, aber es gehen viele pakete verloren. sogar marktführer enterasys hat da große schwierigkeiten. snort läuft in einem 100 mbit netz super, aber wie weit und wie lange. 100 mbit heißt, dass es einen port bei max. auslastung überwachen kann. irgendwann kommt es an die grenzen, da es eine application ist. es hat zwar den vorteil, dass es keine großen grafischen ******* macht, auch die outputmodule sind gut gehandelt, aber machen das ding etwas langsamer.

unser gedanke (wir sind vier entwickler derzeit) war eigentlich anfangs, dass man snort etwas schlanker machen könnte. doch dann haben wir uns den kernelwebserver angesehen und gemerkt, wieviel schneller er lief als wenn er eine appl. wäre (haben wir getestet), dann haben wir das selbe mit einem kleinen sniffer gemacht, war auch erstaunlich wie schnell das ging.

also wird jetzt ein kerlen oder ein kernelmodul entwickelt, das dadurch sehr schnell agieren kann. der output wird nicht an eine direkte facility geschickt sonder an eine application (c server), der dann die weitere verarbeitung macht. der server hat einen großen puffer, so dass er nicht alles auf einemal berarbeiten muss. die verarbeitung des formats macht der kernel. so dass der server nur ein einheitliches format bekommt. danach loggt er das in eine datenbank.

von der sicherheit her habe ich keine bedenken, da der kernel gehärtet wird. er soll so kompiliert werden können, dass nur die ids funktion und routing etc. gewährleitestet ist. also eine art ids kernel, der dann eigentlich auch für nichts anderes mehr eingesetzt werden kann..


joey

Hallo joey,

vielleicht solltest Du diese Anfrage besser auf http://mrunix.de (unserem Partnerforum fürs proggen) stellen.
Ich denke, dort erreichst Du eher die Fachleute für ein solches Vorhaben :D

Harry

hi,

hab ich mir am anfang auch schon gedacht, aber ich dachte mir, dass die meisten programmierer von mrunix.de auch hier im forum sind....

wir haben jetzt ein richtig cooles kleines team zusammen, wir sind so an die 6 leute und die sache beginnt zu rollen. wer noch lust hat und was drauf hat, kann sich gerne melden

jeoy

Hi,

RealSecure von ISS (http://www.iss.net) kann wohl schon Gigabit....

MfG,
Matze

Hi,

nominal aber leider nicht effektiv. Außerdem ist das doch nicht richtig OSS oder ;)

Nein der Gedanke ist folgender. Wenn ich ein 100 mbit netz überwachen will, brauche ich eigentlich ein Gigabit IDS. Nehmen wir einen normalen Coreswitch mit 100 100mbit porst. der hat einen 1 gigabit Monitorport, an dem ich mein Gigabit IDS anschließe. Jetzt bekommt mein IDS soviel mit wie es das interface - also die netzwerkkarte - zulässt. derzeit max. 1 gigabit. damit überwache ich aber nur ein 100mbit netz und kein gigabit mbit netzwerk.

ist ja auch mit einer application kaum zu schaffen, außer ich hau mir da natürlcih eine fette sun hin mit 5 netzwerkkarten...

naja und wie gesagt ,der hauptgedanke ist es ja, das ding oss zu machen.

wir kommen überbringends relativ gut voran mit der sache, auch wenn sich schon 3 fast unlösbare gegeben hat ;)

joey