Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Intrusion Detection System Snort für kleines LAN

Frage Linux Linux Netzwerk

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

19.10.2011, aktualisiert 17:50 Uhr, 11540 Aufrufe, 8 Kommentare

Hallo,

nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.

Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.

http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf

Ich hätte folgende Fragen:

- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?

Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html

Danke für eure Hilfe.

Gr. I.
Mitglied: aqui
19.10.2011 um 18:06 Uhr
Alles was da steht ist soweit richtig. Snort ist regelbasierend, d.h. du musst es kontinuierlich pflegen oder über einen kleinen Obulus dir immer automatisch die Regelsätze runterladen. Alle Small und Midrange IDS Systeme (Out of the Box Lösungen) ist Snort auf einer gehärteten Linux Appliance und Geld wird mit der Wartung und den Regelsätzen verdient.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Bitte warten ..
Mitglied: istike2
19.10.2011 um 18:30 Uhr
Danke Aqui,

informativ wie immer.

Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.

Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.

Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.

Lohnt es sich der Aufwand mit diesem Equipment?

Wenn es so geht:

- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?

kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen?

Gr. I.
Bitte warten ..
Mitglied: exciter
19.10.2011 um 19:42 Uhr
Eine mögliche Lösung heißt,

www.ipfire.org

Sorry für die Werbung.
Bitte warten ..
Mitglied: aqui
20.10.2011 um 18:01 Uhr
Ist ja legitim....
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer
Bitte warten ..
Mitglied: istike2
21.10.2011 um 14:40 Uhr
Danke Aqui,

dann muss ich wohl oder über investieren.

Gr. I.

(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert )
Bitte warten ..
Mitglied: istike2
21.10.2011 um 15:51 Uhr
Eine weitere Option mit einem bequemeren GUI.

http://snorby.org/

Scheinbar auch als Out-of-the-Box.
Bitte warten ..
Mitglied: aqui
21.10.2011 um 16:21 Uhr
Ja, als pfSense Plugin rennt das natürlich auch. Da musst du aber mal sehen wie das ALIX das verkraftet aus Performnce Sicht. Also immer mal ein Auge auf die CPU Last halten
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Bitte warten ..
Mitglied: istike2
21.10.2011 um 17:38 Uhr
Sinnvollerweise sollte ich dann mindestens ein Netbook mit einem fertigen Snorby-Image (auf Ubuntu-Basis) bzw. mit einem managebaren Gbit.Switch nehmen.

Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".

Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.

Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.

Sehe ich die Sache richtig?

Gr. I.


EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Lancom + Intrusion-Detection ?
Frage von hans.meyer0Erkennung und -Abwehr1 Kommentar

Gibt es einen Weg einen Lancom-Router durch ein automatisches IDS zu erweitern? Ich kann die Firewall-Logs an einen Log-Dienst ...

Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Groupware
Private kleine Groupware oder CMS System
Frage von mandkmGroupware1 Kommentar

Hallo ich will für mich und meine Freunde ein kleines CMS System oder Groupware einrichten. Grober Funktionsumfang sollte sein: ...

Router & Routing
Kleiner Router für zwei LANs gesucht
gelöst Frage von lasterRouter & Routing9 Kommentare

Hallo, habe einen (Kunden mit) Dell PowerConnect 2824 mit 2 VLANs (1/Prod und 20/Gast) in einer Niederlassung. WLAN-APs mit ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 10 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 14 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...