Hello all,<br><br>The problem is that I can NOT install anything in the snort system.<br><br>I can ONLY use snort rules.<br><br>I am making tests with the preproccesor http_inspect.<br><br><div class="gmail_quote">On Thu, May 17, 2012 at 11:47 AM, Jason Haar <span dir="ltr"><<a href="mailto:Jason_Haar@...15306..." target="_blank">Jason_Haar@...15306...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 17/05/12 04:02, Olaf Schreck wrote:<br>
>> In OpenSource land, p0f is the best tool to go about detecting OSes.<br>
> Or OpenBSDs pf firewall which has this functionality built in.<br>
<br>
</div>...except I wouldn't trust either to make blocking decisions. I've used<br>
p0f for years and even though it's very useful, it still gets a lot of<br>
packets wrong - eg Windows systems declared as Linux - and 3 packets<br>
later being Windows. Great metadata - but I wouldn't block/alert on it<br>
<div class="im HOEnZb"><br>
--<br>
Cheers<br>
<br>
Jason Haar<br>
Information Security Manager, Trimble Navigation Ltd.<br>
Phone: +1 408 481 8171<br>
PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<br>
<br>
<br>
</div><div class="HOEnZb"><div class="h5">------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Borja Luaces Altares<br>Administrador/Analista de Sistemas (MCSE Security,C|EH & CSSA)<br>