Friday, November 04, 2005

Sguil 0.6.0-RC2 Available

After much development, Sguil 0.6.0-RC2 is now available for download. Several new features appear in 0.6.0, including:

  • MySQL's MERGE storage engine is used. The MERGE storage engine, also known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRG_MyISAM engine, is a collection of identical MyISAM tables that can be used as one. All Snort alerts and SANCP session data is now stored in MERGE tables, resulting in better scalability and performance. Sguil author Bamm Visscher reports "I went from being able to keep ~6 million rows to >300 million rows."

  • All sensor communication is performed through sensor_agent.tcl. This allows Sguil to be seemingly one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few programs that respects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new licensing of MySQL under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL.

  • Support for Snort's sfPortscan function has been added. Users no longer need to patch and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portscan preprocessor.

  • Increased use of tabs for window management provides better access to new information like sensor status.


Barring unforeseen issues, Sguil 0.6.0-RC2 will be released soon as 0.6.0. If you'd like to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RC2, please download it.

I plan to create a VM image using FreeBSD 6.0 RELEASE and Sguil 0.6.0, suitable for use in VMware Player.

FreeBSD 6.0 RELEASE Announced

FreeBSD 6.0 RELEASE has been officially announced. When I get a chance I intend to upgrade my 5.4 systems to 6.0 to take advantage of bpfstat on my sensors.

I should have a new article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 February 2006 issue of SysAdmin Magazine explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplest way to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD OS and applications up-to-date.

Network Forensics? Please.

Today I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Interop New York 2005 Schedule and noticed an item called "Network Forensic Day" taught by Pine Mountain Group. I try to stay current with people and companies performing security work, but I had never heard of PMG. I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course, wondering if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "network" meant "enterprise," as in "how to use forensics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise." I think that is a misapplication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term network in that context, but it's common enough. Alternatively, perhaps "network" meant "traffic," which is how I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term.

When I mention "network forensics," I define it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 art of collecting, protecting,
analyzing, and presenting network traffic to support remediation or prosecution.
This is in line with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of forensics:

"1. The art or study of formal debate; argumentation.
2. The use of science and technology to investigate and establish facts in criminal or civil courts of law."

It turns out PMG's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "Network Forensics" has nothing to do with any recognized application of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term. They say:

"Network Forensics is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro transactions of inter-network components, platforms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications that process on and across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

By taking a forensic measurement of a micro transaction, quantifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeated dependency on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro to that of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro we can quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improvement for an end user that specific IT optimizations might provide. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business process side, quantification of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro transaction time spent by an end user can be quantified in annual cost or lost productivity associated with slow applications. Knowing optimization improvements and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir associated costs allows a long term ROI to be considered. The result? Best bang for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buck optimization!

Come join PMG NetAnalyst in a day of cross technology, vendor independent network training with a twist: PMG will take you on a journey down several complex multi-vendor network environments where troubles abound. You will be taught how to use a well rounded 'bag of tools' to analyze and troubleshoot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues as well as how applying best practices could have avoided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues. Forensics Day will show you how to save money as well as improve performance and reliability by using 'brain cells' instead of budget to solve and even prevent problems."

Please. This is not "network forensics" by any stretch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagination. This is an attempt to add a sexy name to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise boring ideas of network troubleshooting. The latest iteration and expansion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term Business Service Management, which I learned about recently though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1 September 2005 Network Computing magazine.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are similar uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "forensics" outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal realm. However, "network forensics" has had a security association for years. I would like to see it stay that way to avoid furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cluttering our professional landscape.

Network Computing Misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mark

I really enjoy reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free IT magazine Network Computing. However, I believe comments by NWC authors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two issues demonstrate some fundamental misunderstandings of open source applications and system administration. These are not earth-shattering issues, but I thought I would share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with you.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 27 October 2005 issues includes an article called Open-Source Security Technology Joins Endangered List. Here are excerpts:

"For many users and vendors, network security is dependent on a collection of open-source programs that provide key capabilities, sometimes as standalone tools and sometimes as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for commercial products. Last month, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open-source status of two of those key technologies--Snort and Nessus--became threatened....

The moral is that heavy reliance on open source carries risk, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest insurance policy for open-source technology is participation by a large number of users and developers. If you're thinking of using open source, keep a close eye on what happens to both Snort and Nessus."

I would argue that open source carries much less "risk" when compared to closed applications. The fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is open is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "greatest insurance policy," not "participation by a large number of users and developers." If an open source program is no longer maintained, it can be assumed by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r developer. Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license is truly open, that new developer can resume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, fork it, or rebuild from scratch using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original as inspiration.

For example, Linux guru Tim Lawless started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Saint Jude project to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux kernel, but had to abandon coding it in 2002. Last week Rodrigo Rubira Branco took over maintainership and released a new version. BASE, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replacement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web-based alert browser ACID, is a second example. The new version of SPADE hosted by Bleeding Snort is a third example. None of this would be possible with so-called less "risky" closed programs.

The second example of Network Computing missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mark appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following letter and response:

"I have a question concerning an application one of my consultancy clients needs that's targeted for Microsoft Data Center Server 2003, a product used to manage DPM, on Unisys 3S7000. The systems integrator is saying that 'for performance reasons,' it plans to 'modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system' for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

It's been a long time since I've heard of any vendor advocating modification of a native OS to boost performance or achieve goals not supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS. I've been all over Microsoft's OEM partner site and haven't read anything about using Data Center Server as an OEM product. Not even its predecessor, Data Center Server 2000, was ever available as a shrinkwrapped product; you had to have Microsoft services to implement it.

Have you ever heard of any vendor wanting to tweak cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel in order to support its application? Sounds risky...

Don MacVittie replies: Larry, your instincts are dead-on. Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux world, tweaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer is generally considered taboo. There's just too much that can go wrong.

Are you sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor is talking about making code changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel? Maybe what it has in mind is custom drivers, which are more acceptable, or a custom build, which is relatively common for OEMs.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor really does want to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, you should tell your client to run away from it as fast as it can. There are enough good products out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to handle high-volume backups and replication without having to resort to such a drastic measure."

Good grief. "Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux world, tweaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer is generally considered taboo. There's just too much that can go wrong." Like what, better performance? I do not know if it is possible for end users to make any modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel, perhaps via a sysctl mechanism as found in BSD. I do not fault cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NWC writer for advising users to stay away from Windows kernel tweaks.

Linux and BSD are completely different beasts. I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power to alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel to be an advantage, not voodoo. In production I make few kernel customizations on BSD not because I am scared and need to "run away." I only make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customizations with which I am familiar, like adding support for IPSec or NAT. If I encountered a problem that could be addressed by customizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, I would take full advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control that an open source OS provides.

What are your thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues?

Tuesday, November 01, 2005

Dealing with FreeBSD Port Options

Sometime when you build a port in FreeBSD, you are confronted with a curses menu like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. This example shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu that appears when you run 'make' as root in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /usr/ports/ftp/gftp directory. If you hit 'OK' and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n interrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port building process, and run 'make' again, you will not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu:

orr:/usr/ports/ftp/gftp# make
...menu appears, hit 'OK'...
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
===> Extracting for gftp-2.0.18
=> Checksum mismatch for gftp-2.0.18.tar.gz.
===> Refetch for 1 more times files: gftp-2.0.18.tar.gz
^C
orr:/usr/ports/ftp/gftp# make
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
===> Extracting for gftp-2.0.18
=> Checksum mismatch for gftp-2.0.18.tar.gz.
===> Refetch for 1 more times files: gftp-2.0.18.tar.gz
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
^C

What is happening? Where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu?

It turns out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu process creates a file called 'options' in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /var/db/ports/PORTNAME directory. For example:

orr:/var/db/ports/gftp$ ls -al
total 6
drwxr-xr-x 2 root wheel 512 Nov 1 15:00 .
drwxr-xr-x 3 root wheel 512 Nov 1 14:44 ..
-rw-r--r-- 1 root wheel 167 Nov 1 14:59 options
orr:/var/db/ports/gftp$ cat options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for gftp-2.0.18
_OPTIONS_READ=gftp-2.0.18
WITH_X11=true
WITHOUT_GTK2=true

If you want to eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu on a subsequent run of 'make', just delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options file.

New FreeBSD Logo Announced

There you have it. That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FreeBSD logo. I think it is a mess. I cannot picture it being embroidered on a polo shirt. That is my basic test for a good logo. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bright side, I hope to see Beastie disappear off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Web site now.

BSD Certification Group Publishes Usage Survey Results

The BSD Certification Group has released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usage survey here (.pdf). Here is a quick look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers:

  • 77% report using FreeBSD

  • 33% report using OpenBSD

  • 16% report using NetBSD

  • 3% report using DragonFly BSD

  • 7% report "ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r"


On a related note, I have resigned my seat on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Certification Group and joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advisory Board due to time constraints caused by running TaoSecurity.