
Actually, monitoring who is 'knocking on your door' from the external world is a very useful part of what we do too.<br><br><div class="gmail_quote">On Wed, May 25, 2011 at 11:03 AM, Mike Kallies <span dir="ltr"><<a href="mailto:mike.kallies-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org">mike.kallies-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On 5/25/2011 10:33 AM, Lennart Sorensen wrote:<br>

> I keep wondering if I am the only person that doesn't believe in IDS as<br>

> a useful concept. :)<br>

><br>

> As far as I see it, if you can detect something is bad, then you could<br>

> have blocked it from ever being allowed in by the firewall in the<br>

> first place.<br>

><br>

<br>

</div>I half-agree.  IDSes should be deployed inside the perimeter, let the<br>

firewall lop off the noise from the Internet... but IDSes are essential<br>

for large networks.  When you're inside the perimeter, you don't detect<br>

that something is bad.  You detect that something requires further<br>

investigation.<br>

<br>

Other advantages:<br>

- Through portspans and taps, you're able to inspect what's going on<br>

inside the network and not just the perimeter.<br>

- You can see signature based information rather than inferring content<br>

based on port/protocol<br>

- Pumping the output into an event correlation engine can help raise<br>

priority on things like "if some guy was just portscanning the subnet,<br>

raise the severity of subsequent brute-force attempts"<br>

<br>

Very little traffic is black and white these days.<br>

<br>

Note too that IDS doesn't make a lot of sense in-house because the size<br>

of the team to monitor the correlation engine 24x7x365 is very<br>

expensive.  So industry standard practice is to deploy the IDSes/IPSes<br>

at the customer premises, and have a third party monitor the feeds.<br>

<font color="#888888"><br>

<br>

-Mike<br>

</font><div><div></div><div class="h5">--<br>

The Toronto Linux Users Group.      Meetings: <a href="http://gtalug.org/" target="_blank">http://gtalug.org/</a><br>

TLUG requests: Linux topics, No HTML, wrap text below 80 columns<br>

How to UNSUBSCRIBE: <a href="http://gtalug.org/wiki/Mailing_lists" target="_blank">http://gtalug.org/wiki/Mailing_lists</a><br>

</div></div></blockquote></div><br>