Phil Woods tarafından eklemeler yapılmış libpcap sürümünü indirip kurmak için http://public.lanl.gov/cpw/ adresinden gerekli dosyalar indirilmelidir.

Phil Woods tarafından libpcap üzerinde yapılan geliştirmelerin ne işe yaradığını teknik olarak incelemek isteyenler http://public.lanl.gov/cpw/pcapREADME.html adresinden başlayabilir. Snort içerisinde değişik libpcap sürümleri için seçenekler vardır. Bu seçeneklerden biri de  PCAP_FRAMES değerinin belirtilmesidir. Eğer PCAP_FRAMES değeri belirtilmediyse Snort aşağıdakine benzer bir uyarı verecektir.

Genellikle bu hata alınır.

Bu uyarıyı almamak için Snort başlatılırken PCAP_FRAMES=xyz gibi bir değer verilebilir. Burada tavsiye edilen değer “max” dır.

root@seclabs~#PCAP_FRAMES=”max” snort -c /etc/snort/snort.conf -D -i br0

NOT: PCAP_FRAMES özelliği sadece Phill Woods tarafından geliştirilen libpcap sürümünde işe yarayacağı için klasik libpcap kullanımlarında PCAP_FRAMES değerine birşey atansa bile işe yaramayacaktır.

The post Snort Kullanımında “Not using PCAP_FRAMES” Hatası first appeared on Complexity is the enemy of Security.

Secimdeki temel kriterlerim: Basta kendi yaptigim canli  testler, urunun teknik yetenekleri(+raporlama) , urunu Turkiye’de satan, destegini veren firmanin yeterliligi, musteriye bakis acisi  ve o urun hakkinda yapilmis bagimsiz degerlendirmeler .  Bu degerlendirmeleri guvenlik listelerinde urun hakkinda donen tartismalar, internette yazilmis makaleler, Gartner, Icsa Lab ve NSS gibi bagimsiz(?) kuruluslarin raporlari olusturuyor.

Temel kriterlerimi etkilemeyen maddelerden birisi urunu satmaya calisan firmanin/yetkilinin urun hakkinda soyledikleri. Zira nasil ki her ana icin cocugu kusursuzsa her satici icin de urunu kusursuzdur ve kusurlar hep satildiktan sonra ortaya cikar.

Ben de bu baglamda gecmis yillarin Gartner raporlarini arastirirken onume  Gartner’in IPS urunleri hakkidaki 2008 yili ilk ceyrek raporu(Magic Quadrant for Network Intrusion Prevention System Appliances, 1H08) dustu.  (http://mediaproducts.gartner.com/reprints/sourcefire/154849.html) Sonuclar eski raporlarla cok farkliliklar gostermiyor.

Bu tip raporlari sık incelemeyenlere: muhtemelen hic ismini duymadiginiz, kullanmadiginiz  urunleri listenin basinda gormek sizi sasirtabilir ya da kullandiginiz urunun alt siralarda olmasi sizi uzebilir.  Zira Gartner urunun teknik ozelliklerinden ziyade urunu, firmayi, musterileri ve piyasa dengelerini bir butun olarak ele alip degerlendirme yapiyor.Degerlendirme kriterleri icin ustteki link incelenebilir.

Dolayisi ile alacaginiz urun sayisi bir,  ikiyi gecmiyorsa gelecekte de sayi artmayacaksa Gartner’in raporu cok degerlendirmeye alinmayabilir.

Ama alacaginiz urunun sayisi 5-10 ve uzeri ise urunun teknik ozellikleri yaninda firmanin durumu da onemli olmaya basliyor. Mesela X urununun Y firmasi  tarafindan satin alinmasi, Y’nin de bir china firmasi tarafindan alinmasi sizin sirketinizin yasal sartlarina uymayabilir ve uzun vadede sorunlar cikarabilir. Dolayisi ile bu tip durumlarda Gartner raporlari karar verme acisindan yararli oluyor, otesinde ust yonetime vs konuyu aciklarken refere olarak Gartner’in kullanilmasi sizi bircok aciklama yapmaktan kurtariyor.

The post IPS Seciminde Kriterler first appeared on Complexity is the enemy of Security.