|
Estimado Brenno: En primer lugar me disculpo por contestarte en español... espero puedas entender la esencia del mensaje.... Creo que la pricipal diferencia es que Snort + Guardian no son lo que llamaría un IPS activo... yo más bien lo llamaría un IPS reactivo, ya que permiten el paso del primer ataque... Esto es especialmente grave en ataques DoS.... Ya que el paquete "ofensor" logra pasar y llegar a destino.... solamente previenen futuros ataques del mismo origen... Además imaginemos el caso de una red de 500 PCs que salen con una sola IP (source NAT)... si una nos ataca nosotros no permitiriamos el tráfico de 499 clientes "honestos"... Otro aspecto a tener en cuenta es que iptables no "mata" las conexiones ya establecidas... (si el atacante reutiliza la conexión original, puede seguir accediendo al equipo a pesar de que Guardian haya levantado una regla que lo bloquea) HLBR bloquea solamente tráfico maligno.... Creo que es la diferencia fundamental entre SNORT y HLBR.... Respecto a utilizar ambos a la vez es casi como tener dos antivirus en el servidor de correo... el 99% de las veces van a hacer el mismo trabajo dos veces....La pregunta es: qué tan importante para vos es el 1% restante ;-) Gabriel Arellano. -----BEGIN GEEK CODE BLOCK----- Version: 3.1 GCS/ED d-- s: s- a- C+++ UL++++$ P+>+++ L+++$>++++ E- W+++ w--- PS++ PE Y++ PGP++ t+++ 5- X++++ R++ tv+++ b+++ DI+++ D++++ G+ e++>++++ h+ r* y-- ------END GEEK CODE BLOCK------ brennosu wrote: Antes de mais nada, parabéns pelo projeto. |
smime.p7s
Description: S/MIME Cryptographic Signature
