Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Intrusion Detection System Snort für kleines LAN

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

19.10.2011, aktualisiert 17:50 Uhr, 11682 Aufrufe, 8 Kommentare

Hallo,

nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.

Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.

http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf

Ich hätte folgende Fragen:

- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?

Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html

Danke für eure Hilfe.

Gr. I.
Mitglied: aqui
19.10.2011 um 18:06 Uhr
Alles was da steht ist soweit richtig. Snort ist regelbasierend, d.h. du musst es kontinuierlich pflegen oder über einen kleinen Obulus dir immer automatisch die Regelsätze runterladen. Alle Small und Midrange IDS Systeme (Out of the Box Lösungen) ist Snort auf einer gehärteten Linux Appliance und Geld wird mit der Wartung und den Regelsätzen verdient.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Bitte warten ..
Mitglied: istike2
19.10.2011 um 18:30 Uhr
Danke Aqui,

informativ wie immer.

Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.

Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.

Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.

Lohnt es sich der Aufwand mit diesem Equipment?

Wenn es so geht:

- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?

kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen?

Gr. I.
Bitte warten ..
Mitglied: exciter
19.10.2011 um 19:42 Uhr
Eine mögliche Lösung heißt,

www.ipfire.org

Sorry für die Werbung.
Bitte warten ..
Mitglied: aqui
20.10.2011 um 18:01 Uhr
Ist ja legitim....
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer
Bitte warten ..
Mitglied: istike2
21.10.2011 um 14:40 Uhr
Danke Aqui,

dann muss ich wohl oder über investieren.

Gr. I.

(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert )
Bitte warten ..
Mitglied: istike2
21.10.2011 um 15:51 Uhr
Eine weitere Option mit einem bequemeren GUI.

http://snorby.org/

Scheinbar auch als Out-of-the-Box.
Bitte warten ..
Mitglied: aqui
21.10.2011 um 16:21 Uhr
Ja, als pfSense Plugin rennt das natürlich auch. Da musst du aber mal sehen wie das ALIX das verkraftet aus Performnce Sicht. Also immer mal ein Auge auf die CPU Last halten
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Bitte warten ..
Mitglied: istike2
21.10.2011 um 17:38 Uhr
Sinnvollerweise sollte ich dann mindestens ein Netbook mit einem fertigen Snorby-Image (auf Ubuntu-Basis) bzw. mit einem managebaren Gbit.Switch nehmen.

Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".

Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.

Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.

Sehe ich die Sache richtig?

Gr. I.


EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Lancom + Intrusion-Detection ?
Frage von hans.meyer0Erkennung und -Abwehr1 Kommentar

Gibt es einen Weg einen Lancom-Router durch ein automatisches IDS zu erweitern? Ich kann die Firewall-Logs an einen Log-Dienst ...

Erkennung und -Abwehr

Intrusion Detection-Prevention bei verschlüsselten Verbindungen

gelöst Frage von Senci86Erkennung und -Abwehr4 Kommentare

Hallo Zusammen, wir beginnen, uns mit IDS/IPS Systemen zu befassen. Zum testen nutzen wir eine PFSense mit Snort auf ...

Firewall

Snort auf pfSense

Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Groupware

Private kleine Groupware oder CMS System

Frage von mandkmGroupware1 Kommentar

Hallo ich will für mich und meine Freunde ein kleines CMS System oder Groupware einrichten. Grober Funktionsumfang sollte sein: ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 2 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 16 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...