Прежде чем сравнивать с другими решениями, с ними надо сначала ознакомиться.
Ну c каких пор Netflow стал утилитой? Это протокол. А сравнивать утилиту с протоколом - это нечто.
Во-вторых, для использования рассматриваемой утилиты ее надо для начала внедрить. Тот же NetFlow уже реализован в маршрутизаторах и некоторых коммутаторах и приобретать его отдельно уже не надо.
В-третьих, совет установить утилиту на все IDS очень интересен. Особенно для программно-аппаратных или просто аппаратных IPS - Cisco, Juniper, Enterasys, 3Com и т.д. Не говоря уже о том, что на железо с IPS обычно ничего лишнего не ставят.
В-четвертых, я так и не понял, чем эта утилита отличается от IPS/IDS? Что она такого еще делает, чего не делают IPS/IDS? Raw data и IDS/IPS генерят и их тоже можно анализировать.
OFF Luka, привет! Теперь по делу... Масса вопросов... 1. Все изложенное imho можно с успехом транслировать на любую современную IDS. Может я чего-то не понял, но либо эта система должна дополнять какую-либо ущербную IDS, либо сама полность выполнять эту функцию. 2. Если есть несколько точек прослушки трафика, то как кореллировать события? 3. Где и в каком формате хранится накопленная информация? На сколько объемной и производительной должна быть дисковая система? 4. Общение с сервером происходит по HTTP. Где гарантия что он сам не может быть атакован и трафик не перехвачен? Для web-консолей все таки предпочтительнее HTTPS.
И т.д. и т.п.... Т.е. сниффер с прикрученым web-интерфейсом
А собственно главная мысль вот в чем - что в IP Audit позволяет обнаруживать атаки/аномалии? Базы сигнатур там нет, правил обнаружения аномалий тоже. Т.е. все вручную приходится делать. Ну так зачем мне тогда IP Audit? Чем он лучше обычного сниффера?
Вообще-то это именно IP-аудит. Простенькое решение для анализа трафика в своей сети. Просто анализа. Что-кто куда. И не на периметре, а в локалке. Конечно не Qradar и протоколы не разбирает, но все же.
Вообще нормальная (ИМХО) утилита для анализа данных полученных при помощи библиотеки pcap. На все вопросы (В каком формате сохраняет например) легко получить ответы почитав маны ))) http://ipaudit.sourceforge.net/documentation/manpages/ipaudit.html По поводу https вообще вопрос не корректный - Apache+mod_ssl = https - что мешает сделать так не понятно (Просто в статье об этом не сказано.) Или сделайте туннель http over ssh или http over ssl при помощи stunnel или еще 60-т других способов
Во время установки, когда даю команду 'make install-cron', ОС (FreeBSD 5.4-RELEASE) выдаёт следующие сообщение и прекращает установку:
# make install-cron * This crontab install should be enough cross-platform to complete successfully. If there are errors or suggestions, mail jh at dok.org.