Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Intrusion Detection System Snort für kleines LAN

Frage Linux Linux Netzwerk

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

19.10.2011, aktualisiert 17:50 Uhr, 10711 Aufrufe, 8 Kommentare

Hallo,

nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.

Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.

http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf

Ich hätte folgende Fragen:

- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?

Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html

Danke für eure Hilfe.

Gr. I.
Mitglied: aqui
19.10.2011 um 18:06 Uhr
Alles was da steht ist soweit richtig. Snort ist regelbasierend, d.h. du musst es kontinuierlich pflegen oder über einen kleinen Obulus dir immer automatisch die Regelsätze runterladen. Alle Small und Midrange IDS Systeme (Out of the Box Lösungen) ist Snort auf einer gehärteten Linux Appliance und Geld wird mit der Wartung und den Regelsätzen verdient.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Bitte warten ..
Mitglied: istike2
19.10.2011 um 18:30 Uhr
Danke Aqui,

informativ wie immer.

Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.

Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.

Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.

Lohnt es sich der Aufwand mit diesem Equipment?

Wenn es so geht:

- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?

kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen?

Gr. I.
Bitte warten ..
Mitglied: exciter
19.10.2011 um 19:42 Uhr
Eine mögliche Lösung heißt,

www.ipfire.org

Sorry für die Werbung.
Bitte warten ..
Mitglied: aqui
20.10.2011 um 18:01 Uhr
Ist ja legitim....
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer
Bitte warten ..
Mitglied: istike2
21.10.2011 um 14:40 Uhr
Danke Aqui,

dann muss ich wohl oder über investieren.

Gr. I.

(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert )
Bitte warten ..
Mitglied: istike2
21.10.2011 um 15:51 Uhr
Eine weitere Option mit einem bequemeren GUI.

http://snorby.org/

Scheinbar auch als Out-of-the-Box.
Bitte warten ..
Mitglied: aqui
21.10.2011 um 16:21 Uhr
Ja, als pfSense Plugin rennt das natürlich auch. Da musst du aber mal sehen wie das ALIX das verkraftet aus Performnce Sicht. Also immer mal ein Auge auf die CPU Last halten
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Bitte warten ..
Mitglied: istike2
21.10.2011 um 17:38 Uhr
Sinnvollerweise sollte ich dann mindestens ein Netbook mit einem fertigen Snorby-Image (auf Ubuntu-Basis) bzw. mit einem managebaren Gbit.Switch nehmen.

Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".

Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.

Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.

Sehe ich die Sache richtig?

Gr. I.


EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Erkennung und -Abwehr
Lancom + Intrusion-Detection ? (1)

Frage von hans.meyer0 zum Thema Erkennung und -Abwehr ...

Notebook & Zubehör
Kaufempfehlung Netboook - mit LAN-Anschluss! (4)

Frage von SarekHL zum Thema Notebook & Zubehör ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

LAN, WAN, Wireless
Client Mode oder Bridge Mode bei Anbindung an einen AP per W Lan (3)

Frage von xpstress zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...