istike2
Goto Top

Snort auf pfSense richtig einrichten

Hi,

ich habe Snort aus dem pfSense-Package installiert.

- WAN-interface erstellt
- Rules habe ich importiert.

Hat jemand damit praktische Erfahrungen welche die besten Whitelist und sonstige Einstellungen sind?


d0f51af340817192bd125da80472da07

214e0442b71dbd350493985e137e20e5

088fdd8655b13b85188c0c06bf2efa15

09eded937126d03d7deaa2cd11af4ec8

2de7921725289a0b33304ee79e23d46b

086d967955da11f3b021ca3ef35e518f

8c407a318e4a2093bc1952d58c95b945


Mein Zeil ist einfach die größtmögliche Sicherheit (z. T. aus dem LAN wie Trojaner usw.) oder aus WAN.

Die auf unserer öffentlichen Servern laufenden Anwendungen müsste halt möglichst geschützt werden und die Quelle der Bedrohungen müssten geblockt werden.

Ich bin leider ziemlich am Anfang was IDS betrifft.

Danke für die Tipps.


Gr. I.

Content-Key: 191803

Url: https://administrator.de/contentid/191803

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: 108012
108012 25.09.2012 um 20:25:46 Uhr
Goto Top
Zitat von @istike2:
Hi,
Hallo

Ich bin leider ziemlich am Anfang was IDS betrifft.
Immer noch?

Danke für die Tipps.
Gab es nicht schon hier genug?

Gr. I.

Gruß
Dobby

P.S. Über IDS gibt es gute Bücher ein sehr billiges um einmal einen echten und leichten Einstieg in das Thema zu haben, wäre für ca. < 5 € gebraucht zu haben!!

Zu Snort selber gibt es eine ganze Fülle an Büchern, so gefühlte > 100 !!!!
Es ist eh Herbst und da kann man sich ja einmal eindecken für den Winter, oder nicht?

Danach siehst Du die Welt anders und vor allen Dingen, wenn dann noch Fragen offen sind ist das nicht weiter so wild, als immer wieder jedes Jahr bei Null anzufangen. Und in 2013 stellst Du die nächste Frage die bei Null ansetzt.

Ist nicht böse von mir gemeint, aber ich wollte Dich nur einmal sensibilisieren für das Einlesen in das Thema.
Mitglied: istike2
istike2 25.09.2012 um 21:31:10 Uhr
Goto Top
Recht hast du ... face-smile..........................
Mitglied: 108012
108012 25.09.2012 um 22:17:44 Uhr
Goto Top
Hallo istike2,

jeder geht ja auch anders an die Materie ran!
Der eine so herum und wer anders wiederum einen anderen Weg.

Ich persönlich würde Dir folgendes raten:

1. Gebrauchtes Laptop mit zwei Festplatten besorgen auf eine Linux Deiner Wahl mit TCPDUMP installieren und auf die andere Windows mit WINDUMP und dann das IDS Buch kaufen und los legen, denn "Verkehr" scheinst Du ja auf Deinem NAS Server zu haben!
- Hier geht es um grundlegende und elementare Sachen, als Grundstock oder Basis in 6 Wochen zu lernen.

2. Mit WireShark weiter experimentieren und den Netzwerkverkehr beobachten sowie auswerten!!!
- Die hier aufgeführten Daten in Bezug auf IP Pakete und den Netzwerkverkehr kannst Du nun besser deuten und weißt auch was bedeuten!!

3. Danach einmal zu SkyNet und Dir Easy IDS besorgen (ist umsonst) und mal versuchen zu installieren, bei dem Installationsprozess wird man auch gefragt ob man einen Sensor oder einen Server installieren möchte.
- Die Distribution ist schon ein wenig in die Jahre gekommen, aber für einen Einstieg in das Thema IDS
eine der leichtesten und einfachsten Distributionen zum erlernen der Bedienung!
- Lässt sich auch auf einer kleine x86 Appliance installieren wie zum Beispiel Alix,
Soekris, Lanner oder in einer VM zum Erkunden!

Dann einen Switch besorgen der einen Monitor Port hat! (Mirrored Port)
Netgear GS105E - VALN, Monitor Port - ~30 €
Netgear GS108E - VLAN, Monitor Port - ~50 €
Netgear GS108T - VLAN, LAG, Monitor Port - ~80 €
Netgear GS110T - VLAN, LAG, ACL, Monitor + SFP Ports - ~100 €


Und dann geht das ganze Spiel es richtig los, denn nun ist es an Dir die "False Positive" zu senken und dann geht es weiter mit der Benachrichtigung per SMS bei einem Alarm usw. ........


Viel Glück und Erfolg
Gruß
Dobby