1
IPS auf Layer 2 mit Snort
Hallo zusammen
ich stelle mir folgendes vor. Ist dies Möglich?
Ziel ist es, dass das Gerät transparent auf Layer 2 arbeitet. Also ein Packet kommt auf dem IN Interface rein, wird mit den Regeln abgeglichen (evtl. Zurückgewiesen) und dann an das OUT Interface weitergeleitet. Zur Verwaltung der Regeln gibt es noch ein MGMT Interface mit IP, welche per Browser gesteuert werden kann. Als Betriebssystem sollte zum Beispiel ein OpenBSD genutzt werden, oder auch ein CentOS.
Ist so etwas möglich? Hat jemand von euch schon Erfahrungen damit?
Besten dank schon im vorraus.
Pascal
Ist so etwas möglich? Hat jemand von euch schon Erfahrungen damit?
Besten dank schon im vorraus.
Pascal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103433
Url: https://administrator.de/contentid/103433
Printed on: April 26, 2024 at 09:04 o'clock
1 Comment
Hallo flooder,
wenn der Switch Port mirroring unterstützt ist es zumindest möglich den Verkehr auszuwerten und eine Alarmmeldung via SMB Client (sollte aber gleich mit installiert werden)
an einen, mehrere oder alle Rechner zu senden.
Easy IDS ist da Deine Wahl. Based on CentOS mit Snort, banyard, MySQL und MRTG, man kann bei der Installation auch aus wählen ob ein Server oder ein Sensor installiert werden soll. Über Portmirroring gelangen die Daten dann direkt auf das LAN Interface von Snort, dieser läuft dann in einem sogenanten promiscuous mode und das LAN Interface erhält keine IP.
Vorteil: Installation dauert ca. 20 Minuten und läuft sofort nach Eingabe des Oinkcodes
Nachteil zusätzliche Installationen sind schwerer zu realisieren.
Etwas spät geantwortet, doch besser als nie;)
MfG schuhi69
wenn der Switch Port mirroring unterstützt ist es zumindest möglich den Verkehr auszuwerten und eine Alarmmeldung via SMB Client (sollte aber gleich mit installiert werden)
an einen, mehrere oder alle Rechner zu senden.
Easy IDS ist da Deine Wahl. Based on CentOS mit Snort, banyard, MySQL und MRTG, man kann bei der Installation auch aus wählen ob ein Server oder ein Sensor installiert werden soll. Über Portmirroring gelangen die Daten dann direkt auf das LAN Interface von Snort, dieser läuft dann in einem sogenanten promiscuous mode und das LAN Interface erhält keine IP.
Vorteil: Installation dauert ca. 20 Minuten und läuft sofort nach Eingabe des Oinkcodes
Nachteil zusätzliche Installationen sind schwerer zu realisieren.
Etwas spät geantwortet, doch besser als nie;)
MfG schuhi69